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| d:=0; SJ;=0; C2:=0; S2:=0; rT^O 



for i=0 to s-1 



(C1,S1) :=C2I2«+S2f2 y +a~T/T} --^ 
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m:=[(C1 o *S1 o * (RI2 w ) g ].n' o \ ^-7B 



I 



(C2,S2):=C1+S1+m.n 



\R:=C2 0 +S2 0 +R y -^—82 



\u:=C2l2 w +S2l2 w +Rf2*\ — — B4 



\ If u>n then u:=u-n 
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(57) Abstract: The invention relates 
to a method for speeding up the time 
required to perform a Montgomery 
product calculation by applying the 
High-Radix Montgomery method on 
computing hardware. Said method 
comprises a loop of operations (72) 
consisting in repeating successive 
operations, i.e.: a first addition oper- 
ation (76) involving the addition of a 
value of one of several first products, 
designated <o>ai</o>.<o>b</o>, and 
a value of one variable, designated 
u, according to a first relationship 
u:=u+<o>ai</o>.<o>b</o>; and 
a second addition operation (80) 
involving the addition of a value 
of one of several second products, 
designated m.n, and a value of variable 
u according to a second relationship 
u:=u+m.n. The inventive method is 
characterised in that at least 
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said first and second addition operations are Carry-Save addition operations in order to speed up the time required to perform an 
addition. 

(57) Abrege : Procede pour accelerer le temps d' execution du calcul d'un produit de Montgomery en appHquant la methode de 
Montgomery a radix eleve sur des moyens materiels de calcul, ladite methode comprenant une boucle d'operations (72) consistant 
a reiterer des operations successives dont notamment: une premiere operation d 'addition (76) entre une valeur d'un de plusieurs 
premiers produits, notes al.b, et une valeur d'une variable, notee u, selon une premiere relation u:=u+aL5~; une seconde operation 
d ; addition (80) entre une valeur d'un de plusieurs seconds produits, notes m.n, et une valeur de la variable u selon une deuxieme 
relation u:=u+m.n; caracterise en ce qu'au moins lesdites premiere et seconde operations d r addition sont des operations d' addition 
de Carry -Save pour accelerer le temps d'execution d'une addition. 
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PROCEDE ET DISPOSITIF POUR REDUIRE LE TEMPS DE CALCUL D'UN PRODUIT, D'UNE 
MULTIPLICATION ET D'UNE EXPONENTIATION MODULAIRE SELON LA METHODE DE MONTGOMER 



L'invention concerne des precedes et des dispositifs pour accelerer 
le temps d'execution sur des moyens de calcul d'operations d'arithmetique 
modulaire et plus particulierement d'une exponentiation modulaire, d'une 
multiplication modulaire et d'un produit de Montgomery. 
5 Une operation de multiplication modulaire consiste a realiser 

Toperation suivante : 

a. b mod n ; 

ou a, b et n sont des entiers, n etant appele le modulus. 

De fagon classique, pour effectuer une multiplication modulaire, les 
10 moyens de calcul executent d'abord une multiplication de a par b, suivie d'une 
reduction modulo n. Le temps d'execution de cette operation est proportionnel 
a k 2 , ou k est le nombre de bits necessaires pour coder respectivement a, b et 
n en binaire. 

De fagon egalement connue des mathematiciens, une multiplication 
15 modulaire peut etre realisee par la methode de Montgomery. Cette methode 
fait intervener des produits de Montgomery comme decrit dans le document de 
Cetin Kaya Kog, « High Speed RSA Implementation » qui peut etre obtenu a 
Tadresse suivante : 

RSA Laboratories 
2 o RSA Data Security, Inc. 

100, Marine Parkway, Suite 500 

Redwood City, CA 94065 - 1031 

U.S.A. 

Dans la suite de la description, ce document sera note D1 . 
25 Une operation d'exponentiation modulaire consiste a realiser 

I'operation suivante : 
x c mod n ; 

Ou x, c et n sont des entiers, n etant le modulus. 
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Le calcul de cette exponentiation par des methodes connues, telles 
que par exemple la methode « Square and multiply », fait intervenir k 
multiplications modulaires, k etant le nombre de bits necessaires pour coder 
respectivement x, c et n en binaire. Ainsi il est admis que le temps d'execution 
5 de cette operation est proportionnel a k 3 . 

Les operations d'exponentiation modulaire constituent les 
operations de base de dispositifs de cryptage/decryptage d'informations. Par 
exemple les dispositifs de cryptage/decryptage mettant en oeuvre I'algorithme 
RSA (Rivest-Shamir-Adleman) utilisent des exponentiations modulaires. 
io Ces dispositifs se presentent actuellement sous des formes 

diverses telles que des composants electroniques ou des cartes electroniques 
destines a etre associes a des moyens de calcul pour executer et/ou accelerer 
les operations de cryptage/decryptage. 

Le commerce electronique, notamment sur Internet, utilise un grand 
15 nombre de ces dispositifs de cryptage/decryptage pour crypter et decrypter des 
operations commerciales telles que des paiements. Le chiffre d'affaire des 
societes effectuant du commerce electronique est done limite par le nombre 
d'operations de cryptage et de decryptage qui peuvent etre effectuees par 
seconde. 

20 On congoit des lors qu'il est important d'accelerer le temps 

d'execution d'un produit de Montgomery, d'une multiplication et d'une 
exponentiation modulaires sur une machine equipee de moyens de calcul. 

Uinvention vise done a proposer un procede et un dispositif pour 
accelerer le temps d'execution du calcul d'un produit de Montgomery, d'une 

2 5 multiplication et d'une exponentiation modulaires sur une machine equipee de 

moyens de calcul. 

Elle a done pour objet un procede pour accelerer le temps 
d'execution du calcul d'un produit de Montgomery en appliquant la methode de 
Montgomery a radix eleve sur des moyens materiels de calcul, ladite methode 

3 0 comprenant une boucle d'operations consistant a reiterer des operations 

successives dont notamment : 
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une premiere operation d'addition entre une valeur d'un de plusieurs 
premiers produits, notes ai .b, et une valeur d'une variable, notee u, selon 

une premiere relation u :=u+ai .b ; 

une seconde operation d'addition entre une valeur d'un de plusieurs 
5 seconds produits, notes m.n, et une valeur de la variable u selon une 
deuxieme relation u := u + m.n ; caracterise en ce qu'au moins lesdites 
premiere et seconde operations d'addition sont des operations d'addition de 
Carry-Save pour accelerer le temps d'execution d'une addition. 

Suivant d'autres caracteristiques et avantages de I'invention, le 
10 procede comporte : 

dans la boucle d'operations une troisieme operation de division de 
la variable u par une puissance de 2, notee 2* ou co est le radix, selon une 

troisieme relation u :=^, caracterise en ce que la variable u est enregistree 

sous la forme d'un couple de Carry-Save forme par deux variables, notees C et 
15 S, pour I'execution des operations de la boucle et en ce que la troisieme 
operation de division de la variable u sous la forme d'un couple de Carry-Save 
est realisee en deux etapes, a savoir : 

- une etape preliminaire de calcul et de stockage d'une 
retenue, notee Re, qui risque d'etre perdue par la division de chaque variable C 

20 et S par la puissance de 2; 

- une etape de division de chaque variable C et S par la 
puissance de 2 ; 

I'etape preliminaire de calcul de la retenue Re comprend I'operation 
d'additionner de fagon classique g> bits de poids faible de la variable C, notes 
25 C 0f a obits de poids faible de la variable S, notes S 0( selon une quatrieme 
relation R e :=C 0 + S 0 ; 

une recombinaison de u a partir des variables C et S du couple de 
Carry-Save et de la retenue R e comprend I'operation de decaler a droite de <d 
bits la retenue R e et d'additionner de fagon conventionnelle le resultat obtenu 
3 0 aux variables C et S selon une cinquieme relation u : = C+S+R e /2 G) ; 

il comporte a Tissue de Texecution de la boucle d'operations : 
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- une etape de recombinaison (84) de la variable u a partir au 
moins des valeurs des variables C et S du couple de Carry-Save calculees 
pendant I'execution de la boucle d'operations, et 

- une etape de reduction (86) de la variable u selon une 
5 sixieme relation u : = u-n, ou n est un modulus, 

lesdites etapes de recombinaison et de reduction de la variable u se 
chevauchant de maniere a accelerer leur temps d'execution ; 

le radix © est egal a 4 bits pour optimiser le temps d'execution du 
calcul d'un produit Montgomery sur des variables d'entree du produit de 

1 o Montgomery codees sur 51 2 ou 1 024 bits ; 

les premiers produits a>.b sont pre-calcules avant d'executer la 
boucle d'operations ; et 

les seconds produits m.n sont pre-calcules avant d'executer la 
boucle d'operations. 

is L'invention a egalement pour objet un procede pour accelerer le 

temps d'execution du calcul d'un premier et d'un second produits de 
Montgomery en appliquant pour chaque produit comportant au moins une 
premiere etape pendant laquelle la premiere operation d'addition pour le 
premier produit est realisee en meme temps que la seconde operation 

2 o d'addition pour le second produit 

Suivant d'autres caracteristiques et avantages de ce procede pour 
accelerer le temps d'execution du calcul d'un premier et d'un second produits 
de Montgomery : 

il comporte au moins une seconde etape decalee dans le temps par 
25 rapport a la premiere, pendant laquelle la seconde operation d'addition pour le 
premier produit est realisee en meme temps que la premiere operation 
d'addition pour le second produit ; 

ii comporte a Tissue de I'execution de la boucle d'operations : 

- une etape de recombinaison puis de reduction pour le 

3 o premier produit execute en premier ; et ensuite, 

- une etape de recombinaison puis de reduction pour le second 
produit execute en second ; 
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une des variables d'entree du premier produit de Montgomery 
execute en premier se compose des poids faibles d'une variable, et une des 
variables d'entree du second produit de Montgomery execute en second se 
compose des poids forts de cette meme variable ; 
5 (.'invention a egalement pour objet un procede pour accelerer le 

temps d'execution du calcul d'une multiplication modulaire en appliquant une 
methode mettant en oeuvre des produits de Montgomery, caracterise en ce 
que le calcul des produits de Montgomery est realise en appliquant au moins 
Tun des procedes conforme a I'invention. 
10 Suivant d'autres caracteristiques et avantages de ce procede pour 

accelerer le temps d'execution du calcul d'une multiplication modulaire : 

ladite methode mettant en oeuvre des produits de Montgomery est la 
methode de Montgomery ; 

L'invention a egalement pour objet un procede pour accelerer le 
15 temps d'execution du calcul d'une exponentiation modulaire en appliquant une 
methode mettant en oeuvre des multiplications modulaires, le calcul des 
multiplications modulaires est realise en appliquant un procede conforme a 
I'invention. 

Suivant d'autres caracteristiques et avantages de ce procede pour 
20 accelerer le temps d'execution du calcul d'une exponentiation modulaire : 

ladite methode mettant en oeuvre des multiplications modulaires est 
la methode m-ary avec une taille de mots de r bits ; 

la taille de mots r de la methode m-ary est egale a 5 bits pour 
accelerer le temps d'execution de la methode m-ary lorsque des variables 
25 d'entree du calcul de I'exponentiation modulaire sont codees sur 512 ou 1024 
bits ; 

les seconds produits m.n sont pre-calcules avant d'appliquer la 
methode m-ary ; 

ladite methode mettant en oeuvre des multiplications modulaires est 
30 la methode des restes chinois ; 

L'invention a egalement pour objet un procede pour accelerer le 
temps d'execution du calcul d'une premiere exponentiation modulaire en 
appliquant une methode mettant en oeuvre des secondes exponentiations 
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modulaires, les secondes exponentiations modulaires sont realisees en 
appliquant un procede conforme a I'invention. 

Suivant d'autres caracteristiques et avantages de ce procede pour 
accelerer le temps d' execution du calcul d'une premiere exponentiation ; 
5 ladite methode mettant en ceuvre des secondes exponentiations 

modulaires est la methode des restes chinois ; 

il est applique a des nombres codes sur plus de 320 bits ; et 

(.'invention a egalement pour objet un programme d'ordinateur 
comprenant des instructions de code de programme pour Texecution de 
10 certaines etapes du procede conforme a I'invention lorsque ledit programme 
est execute sur des moyens principaux de calcul associes audits moyens 
materiels de calcul. 

L'invention a egalement pour objet un systeme deceleration du 
temps d'execution du calcul d'un prod u it de Montgomery par la methode de 
15 Montgomery a radix eleve sur des moyens materiels de calcul, ledit systeme 
comprenant : 

des moyens pour effectuer une premiere operation d'addition entre 
une valeur d'un de plusieurs premiers produits, notes a\ .b , et une valeur d'une 
variable, notee u, selon une premiere relation u := u+a\ .b ; 
20 des moyens pour effectuer une seconde operation d'addition entre 

une valeur d'un de plusieurs seconds produits, notes m.n, et une valeur de la 
variable u selon une deuxieme relation u := u + m.n, 

caracterise en ce que les moyens pour effectuer la premiere et la 
seconde operations d'addition comportent au moins un additionneur de Carry- 
25 Save ; 

Suivant d'autres caracteristiques et avantages de ce systeme : 
les moyens pour effectuer la premiere et la seconde operations 
d'addition comportent au moins un premier additionneur de Carry-Save adapte 
pour realiser la premiere operation d'addition et un second additionneur de 
3 o Carry-Save (158 ; 232) adapte pour realiser la seconde operation d'addition. 

il comporte des moyens classiques pour realiser une troisieme 
operation de division de la variable u par une puissance de 2, notee 2° ou © 
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est le radix, selon une troisieme relation u :=^~, il comporte des moyens de 

stockage de la variable u sous la forme d'un couple de Carry-Save forme par 
deux variables, notees C et S et des moyens pour realiser la troisieme 
operation de division de la variable u sous la forme d'un couple de Carry-Save 
5 comprenant : 

- des moyens de calcul et de stockage d'une retenue, notee 
Re, qui risque d'etre perdue par la division de chaque variable C et S par la 
puissance de 2; 

- des moyens de division de chaque variable C et S par la 
10 puissance de 2 ; 

les moyens de calcul et de stockage de la retenue Re comportent 
des moyens d'addition conventionnelle des a> bits de poids faible de la variable 
C, notes C 0f aux ©bits de poids faible de la variable S, notes So. selon une 
quatrieme relation Re : = C 0 + S 0 ; 
15 il comprend : 

- des moyens de recombinaison de la variable u au moins a 
partir des valeurs des variables C et S du couple de Carry-Save ; 

- des moyens de reduction de la variable u, lesdits moyens de 
recombinaison de la variable u et lesdits moyens de reduction etant raccordes 

20 Tun a I'autre de maniere a chevaucher leur fonctionnement sous le controle de 
moyens de commande ; 

le radix o> est egal a 4 bits pour optimiser le temps d'execution du 
calcul d'un produit Montgomery sur des variables d'entree du produit de 
Montgomery codees sur 512 ou 1024 bits ; 
2 5 il comporte des moyens de pre-calculs des premiers produits ai .b ; 

il comporte des moyens de pre-calculs des seconds produits m.n. ; 
lesdits moyens de pre-calculs des premiers et/ou des seconds 
produits comportent un additionneur conventionnel ; 

L'invention a egalement pour objet un systeme d'acceleration du 
30 temps d'execution du calcul d'un premier et d'un second produits de 
Montgomery, caracterise en ce qu'il comporte deux additionneurs de Carry- 
Save actives simultanement ; 
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Suivant une autre caracteristique du systeme deceleration du temps 
d'execution du calcul d'un premier et d'un second produits de Montgomery, il 
comporte un seul moyen pour recombiner ia variable u a partir au moins des 
valeurs de variables C et S du couple de Carry-Save, relie en entree d'un seul 

5 moyen de reduction de la variable u ; 

L'invention a egalement pour objet un un systeme d'acceleration du 
temps d'execution du calcul d'une multiplication modulaire par une methode 
mettant en ceuvre des produits de Montgomery lesdits produits Montgomery 
etant executes sur des moyens materiels de calcul, caracterise en ce qu'il 

o comporte au moins un systeme d'acceleration du temps d'execution du calcul 
des produits de Montgomery conforme a invention. 

L'invention a egalement pour objet un systeme d'acceleration du 
temps d'execution du calcul d'une multiplication modulaire par la methode de 
Montgomery mettant en ceuvre des produits de Montgomery sur des moyens 

5 materiels de calcul, caracterise en ce qu'il comporte au moins un systeme 
d'acceleration du temps d'execution du calcul des produits de Montgomery 
selon I'une des revendications 24 a 34. 

L'invention a egalement pour objet un systeme d'acceleration du 
temps d'execution du calcul d'une exponentiation modulaire par une methode 

o mettant en oeuvre des multiplications modulaires, caracterise en ce qu'il 
comporte au moins un systeme d'acceleration du temps d'execution du ca\cu\ 
des multiplications modulaires conforme a l'invention. 

L'invention a egalement pour objet un systeme d'acceleration du 
temps d'execution du calcul d'une exponentiation modulaire par la methode m- 

5 ary avec une taille de mots de r bits mettant en oeuvre des multiplications 
modulaires, caracterise en ce qu'il comporte au moins un systeme 
d'acceleration du temps d'execution du calcul des multiplications modulaires 
conforme a l'invention . 

Suivant une autre caracteristique du systeme d'acceleration du 

3 temps d'execution du calcul d'une exponentiation modulaire par la methode de 
m-ary , il comporte au moins un registre a decalage a gauche de 5 bits pour 
accelerer I'execution de la methode m-ary avec une taille de mots r bits de la 
methode m-ary egale a 5 bits. 
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L'invention a egalement pour objet un systeme d'acceleration du 
temps d'execution du calcul d'une exponentiation modulaire par la methode 
des restes chinois mettant en oeuvre des multiplications modulaires, 
caracterise en ce qu'il comporte au moins un systeme d'acceleration du temps 
5 d'execution du calcul des multiplications modulaires conforme a 1'invention. 

L'invention a egalement pour objet un Systeme d'acceleration du 
temps d'execution du calcul d'une premiere exponentiation modulaire par une 
methode mettant en oeuvre des secondes exponentiations modulaires, 
caracterise en ce qu'il comporte au moins un systeme d'acceleration du temps 
10 d'execution du calcul des secondes exponentiations modulaires conforme a 
l'invention. 

L'invention a egalement pour objet un systeme d'acceleration du 
temps d'execution du calcul d'au moins une premiere exponentiation modulaire 
par la methode des restes chinois mettant elle-meme en oeuvre des secondes 
15 exponentiations modulaires, caracterise en ce qu'il comporte au moins un 
systeme d'acceleration du temps d'execution du calcul des secondes 
exponentiations modulaires conforme a l'invention . 

L'invention a egalement pour objet un composant electronique qui 
comporte au moins un systeme conforme a l'invention . 
20 Suivant une autre caracteristique de ce composant, il est forme avec 

au moins un FPGA. 

L'invention a egalement pour objet une carte electronique qui 
comporte au moins un systeme conforme a l'invention . 

Suivant une autre caracteristique de cette carte electronique, elle 
25 est conforme au standard PCI. 

L'invention a egalement pour objet une machine caracterisee en ce 
qu'elle est associee a au moins un systeme conforme a l'invention. 

L'invention a egalement pour objet un procede pour accelerer le 
temps d'execution du calcul d'une premiere exponentiation modulaire, notee 
30 M E mod nouM est le message d'entree, E est I'exposant et n est le modulus, 
sur des moyens principaux de calcul, caracterise en ce qu'il comprend en 
outre : 
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- une premiere etape de separation du calcul de la premiere 
exponentiation modulaire en deux secondes exponentiations modulaires, en 
appliquant la methode des restes chinois, 

- une seconde etape consistant a calculer chacune des 
5 secondes exponentiations modulaires en appliquant la methode m-ary, 

laquelle met en oeuvre des multiplications modulaires, 

- des etapes consistant a effectuer les multiplications 
modulaires en appliquant une methode mettant en oeuvre des produits de 
Montgomery. 

io Suivant d'autres caracteristiques et avantages de ce procede pour 

accelerer le temps d'execution du calcul d'une premiere exponentiation 
modulaire: 

les variables d'entree sont des nombres entiers naturels codes sur 
plus de 320 bits ; 

15 la taille de mots r de la methode m-ary est egale a 5 bits pour 

accelerer le temps d'execution de la methode m-ary lorsque les variables 
d'entree du calcul de I'exponentiation modulaire sont codees sur 512 ou 1024 
bits ; 

les calculs des secondes exponentiations modulaires sont effectues 
2 0 sensiblement en parallele ; et 

les produits de Montgomery sont calcules en utilisant la methode de 
Montgomery a radix eleve. 

la methode de Montgomery a radix eleve est mise en oeuvre 
conformement a Tun des precedes conforme a Tinvention. 

2 5 L'invention a egalement pour objet un programme d'ordinateur 

comprenant des instructions de code de programme pour Texecution de 
certaines etapes d'un procede conforme a invention lorsque ledit programme 
est execute sur les moyens principaux de calcul. 

L'invention sera mieux comprise a la lecture de la description qui va 

3 0 suivre, donnee uniquement a titre d'exemple et faite en se referant aux dessins 

annexes, sur lesquels : 

la figure 1 represente le procede de Montgomery pour effectuer une 
multiplication modulaire ; 
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la figure 2 represente une methode pour calculer un produit de 
Montgomery sous sa forme a radix eleve ; 

la figure 3A est un schema electronique d'un additionneur de Carry- 
Save; 

5 la figure 3B est un schema electronique d'un additionneur 

conventionnel ; 

la figure 4 est un exemple de division d'un nombre represente sous 
la forme d'un couple Carry-Save ; 

la figure 5 represente un procede pour calculer un produit de 
10 Montgomery conforme a I'invention ; 

la figure 6 represente un procede d'exponentiation modulaire selon 
la methode m-ary ; 

la figure 7 represente un procede d'exponentiation modulaire 
conforme a I'invention ; 
15 la figure 8 represente la methode des restes chinois ; 

la figure 9 est une vue schematique d'un multiplieur de Montgomery 
conforme a i'invention ; et 

la figure 10 est une vue schematique d'un exponentiateur modulaire 
conforme a I'invention . 
20 Dans la suite de la description on utilise les notations suivantes : 

- on note D2 le document suivant :Cetin Kaya Kog, « RSA 
Hardware Implementation »,qui peut etre obtenu a la meme adresse que le 
document D1 precedemment cite ; 

- := est le symbole d'affectation, ainsi X :=M signifie qu'on affecte la 
25 valeur d'une variable notee M a une variable notee X ; 

« dec. » indique que le chiffre qui le precede est en notation 

decimale. 

« Composant FPGA » fait reference au composant programmable 
connu du type FPGA (Field Programmable Gate Array). 
3 0 La figure 1 represente le procede de Montgomery pour effectuer 

une multiplication modulaire entre une premiere variable d'entree notee «a » et 
une seconde variable d'entree notee « b » selon la relation suivante : 
a. b mod n; 
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ou a, b et n sont des entiers naturels, n etant le modulus. 

La description qui va suivre de ce procede ne presente que les 
informations necessaires a la comprehension de I'invention. Pour plus 
d'informations le lecteur peut se referer, par exemple, au document D1 
5 chapitre 3.8 « Montgomery's method ». 

La multiplication modulaire selon le procede de Montgomery 
s'effectue en cinq etapes successives numerotees 2, 4, 6, 8 et 10 sur la figure 
1. 

L'etape 2 consiste a calculer la variable n' 0 selon la relation 

10 suivante : 

n'o = -n 0 " 1 ; 
ou : 

- le signe - represente I'operation de complement a 1 ; 

- n 0 represente les © bits de poids faible du modulus n, co etant 
15 appele le radix ; 

- n 0 " 1 represente I'inverse de n 0 et est defini par la relation n 0 .n 0 ' 1 = 1 
mod (2°), cette equation etant resolue par des methodes connues telle que 
Talgorithme d'EucIide etendu 

L'interet du calcul de n' 0 dans cette etape apparaTtra a la lecture de 
20 la description de la figure 2. 

Dans la deuxieme etape 4 le residu de Montgomery de la variable 
d'entree a, note a , est calcule selon la relation suivante : 
a := a.p mod n 
ou : 

25 - a est la premiere variable d'entree du produit modulaire ; 

- n est le modulus du produit modulaire, 

- p est defini par la relation suivante : p = 2 k , ou k est rentier naturel 
tel que : 2 k ~ 1 < n <2 k . 

Dans la troisieme etape 6 le residu de Montgomery de la variable 
30 d'entree b, note b , est calcule selon la relation suivante : 
b := b.p mod n ; 
ou : 
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- b est la seconde variable d'entree du produit modulaire ; 

- n est le modulus ; 

- p est identique a la variable p definie dans la deuxieme etape 4. 
Dans la quatrieme etape 8 le produit de Montgomery entre le residu 

5 a et le residu b est calcule et le resultat est affecte a une variable x selon la 
relation suivante : 

x: = MonPro(a,b) ; 
ou : 

-a et b sont les residus calcules respectivement aux etapes 4 et 6 ; 
10 - MonPro represente Toperation produit de Montgomery entre les 

variables a et b. Cette operation sera decrite par la suite en regard de la 
figure 2. 

Dans la cinquieme etape 10 le produit de Montgomery entre la 
variable x et I'unite est calcule et le resultat est affecte a une variable x selon 
15 la relation suivante : 

x := MonPro(x,1) ; 
ou : 

- x est la variable calculee a la quatrieme etape 8 ; 

- 1 represente I'unite ; 

2 0 - MonPro represente I'operation produit de Montgomery. 

A Tissue de ces cinq etapes 2, 4, 6, 8 et 10 le resultat de la 
multiplication de la premiere variable a par la seconde variable b modulo n est 
obtenu dans la variable x. 

La figure 2 represente la methode de Montgomery sous sa forme a 
25 radix eleve pour calculer un produit de Montgomery, egalement appelee ici la 
methode de Montgomery a radix eleve. 

La description qui va suivre de cette methode ne presente que les 
informations necessaires a la comprehension de I'invention. Pour plus 
d'informations le Iecteur peut se referer, par exemple, au document D2 

3 0 chapitre 7.5 « High radix Montogmer/s method ». 
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Le calcul d'un produit de Montgomery correspond aux operations 
MonPro de la figure 1. Cette operation va etre presentee dans le cas particulier 
de I'etape 8 de la figure 1, c'est-a-dire qu'on decrit ici le calcul suivant : 

MonPro(a,b) = a.b. p~ 1 mod n; 
5 Ou : 

- a et b sont les residus de Montgomery respectifs des variables a 
et b calculees aux etapes 4 et 6 de la figure 1; 

- p~ 1 est Tinverse modulo-n de la variable p definie lors de la 
description de I'etape 4 de sorte que p" 1 satisfait la relation suivante : p.p" 1 =1 

10 mod n. 

Ce precede comporte trois etapes principles 16, 18 et 20. La 
premiere etape 16 consiste a initialiser une variable u et un indice i selon les 
relations suivantes : u : = 0 ; i : = 0. Elle consiste egalement a pre-calculer des 
premiers produits ai.b qui seront definis en regard de I'operation 24 de ce 
15 procede. 

La deuxieme etape 18 consiste reiterer une boucle d'operations tant 
que Pindice i n'est pas inferieur ou egal a une variable s-1, Tindice i etant 
incremente a Tissue de chaque iteration de la boucle. Cette boucle 
d'operations est notee de fagon conventionnelle « for i=0 to s-1 ». La variable s 
20 qui determine le nombre dlterations est ici definie par la relation suivante : 

k = so ; 

ou : 

- k represente le nombre de bits necessaires pour coder le modulus 
n, c'est-a-dire que k satisfait la relation : 2 k1 < n < 2 k ; 

25 - o> est le radix . 

Ainsi, si par exemple k = 512 bits et si le radix g> = 4 bits, s = 128. 
Par ailleurs si la division de k par le radix <o ne donne pas un entier 
nature!, il est possible de rajouter a la representation binaire du modulus n des 
bits de poids fort egaux a 0 de maniere a ce que la representation binaire du 
30 modulus n ainsi obtenue contienne un nombre de bits k' qui soit un multiple du 
radix <d. 
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La boucle cooperations 18 comporte quatre operations 24, 26, 28 et 
30 successives. 

La premiere operation 24 de la boucle cooperations 18 consiste a 
effectuer une premiere operation d'addition et a affecter le resultat a la variable 
5 u selon la relation suivante : 

u :=u+ai .b ; 
ou : 

- at represente les © bits de poids faible de la variable a apres un 
/^decalage a droite de m bits de la representation binaire de a, i 

10 correspondent a I'indice i de la variable ai ; 

- b represente le residu de Montgomery de la variable d'entree b ; 

- u est la variable initialisee lors de I'etape 16. 

On appellera par la suite « les premiers produits » I'ensemble des 
valeurs des produits ai . b lorsque la valeur de I'indice i varie de 0 a s-1 . 
15 L'operation 26 suivante consiste a affecter a une variable m le 

resultat de la multiplication d'une variable u 0 par n'o modulo 2® selon la relation 
suivante : 

m : = u 0 _ n' 0 mod 2°; 
ou : 

20 - u 0 represente les co bits de poids faible de la variable u 

precedemment calculee lors de l'operation 24; 

- n'o est la variable calculee lors de i'etape 2 du precede de la figure 

1 ; 

- © est le radix . 

25 L'operation 28 consiste a effectuer une seconde operation d'addition 

puis a affecter le resultat dans la variable u selon la relation suivante : 
u : = u + m.n 
ou : 

- u est la variable precedemment definie; 

30 - m est la variable calculee lors de l'operation 26 ; 

- n est le modulus de la multiplication modulaire de la figure 1. 
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On appellera par la suite « les seconds produits » Tensemble des 
valeurs des produits m.n possibles lorsque la valeur de m varie de 0 a 2 03 - 1 . 

[.'operation 30 consiste a effectuer une operation de division de la 
variable u par une puissance de 2 puis a affecter le resultat de la division a la 
5 variable u selon la relation suivante : 

u : = u / 2* 

ou : 

- u est la variable precedemment calculee ; 

- 2® est la puissance de 2, © etant le radix. 

10 A Tissue de la boucle d'operations 18, I'etape 20 est executee. Cette 

etape consiste a effectuer une operation de reduction si la valeur de la variable 
u obtenue a Tissue de la boucle d'operations 18 est superieure an,n etant le 
modulus. L'operation de reduction consiste a affecter a la variable u le resultat 
de la soustraction u moins n selon la relation suivante : 

15 u : = u - n 

ou u et n sont respectivement la variable calculee lors de la boucle 
d'operations 18 et le modulus de la multiplication modulaire de la figure 1. 

On notera que le procede de Montgomery decrit aux figures 1 et 2 
transforme des multiplications modulo n, en des multiplications modulo 2 m . Or 

20 les multiplications modulo 2° s'executent beaucoup plus rapidement sur des 
moyens de calcul conventionnels. Toutefois, il est connu que ce gain de 
rapidite au niveau des multiplications modulaires est contrebalance par la 
lenteur du calcul des residus a et b lors des etapes 4 et 6 de la figure 1 . 

La methode de Montgomery a radix elevee est couramment utilisee 

25 avec une valeur du radix egale a 8, cette valeur correspondant a un octet (mot 
de 8 bits). De fagon surprenante il a ete determine par des tests que cette 
valeur du radix n'etait pas Toptimum pour accelerer le temps d'execution du 
calcul d'un produit de Montgomery a radix eleve dans les conditions suivantes : 

- le calcul est effectue sur des grands nombres. Par grands 
3 0 nombres on designe des entiers naturels codes en binaire sur au moins 320 

bits. 
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- Ie calcul est effectue par des moyens materiels de calcul. Par 
moyens materiels de calcul on designe ici des composants electroniques, ou 
des ensembles de composants electroniques specialement congus pour 
realiser ce calcul. On exclue effectivement de ces moyens materiels 

5 specifiques, des moyens polyvalents de calcul, tel qu'un ordinateur classique 
associe a un programme permettant de realiser ce calcul. 

Les tests suivants ont ete realises pour des variables a, b et n 
codees en binaire sur 512 bits, c'est-a-dire pour une valeur de la variable k, 
precedemment definie, egale a 512 bits. Les tests consistent dans une 

10 premiere etape a concevoir des moyens materiels de calcul d'un produit de 
Montgomery selon le procede de la figure 2. Dans une seconde etape les tests 
consistent a determiner le temps d'execution du calcul d'un produit de 
Montgomery selon le procede de la figure 2 sur les moyens materiels de calcul 
congus lors de la premiere etape et pour la frequence de fonctionnement 

15 maximale de ces moyens materiels. On notera ainsi dans les exemples 
numeriques suivants que la frequence maximale de fonctionnement des 
moyens materiels de calcul diminue au fur et a mesure que la valeur du radix a> 
augmente. Pour les resultats numeriques suivants les moyens materiels de 
calcul sont formes avec un composant FPGA (Field Programmable Gate Array) 

20 dont la reference est 10K200E-1 . Dans ces conditions les resultats obtenus 
sont les suivants : 

- Pour un radix © egal a 2 bits, la frequence de fonctionnement 
maximale des moyens materiels de calcul est de 66 MHz. Le temps 
d'execution d'un produit de Montgomery selon le procede de la figure 2 est de 

25 8280 nano-secondes. 

- Pour un radix © egal a 3 bits, la frequence de fonctionnement 
maximale des moyens materiels de calcul est de 60 MHz. Le temps 
d'execution d'un produit de Montgomery selon le procede de la figure 2 est de 
6447 nano-secondes. 

3 0 - Pour un radix co egal a 4 bits, la frequence de fonctionnement 

maximale des moyens materiels de calcul est de 50 MHz. Le temps 
d'execution d'un produit de Montgomery selon le procede de la figure 2 est de 
5940 nano-secondes. 
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- Pour un radix co egal a 5 bits, la frequence de fonctionnement 
maximale des moyens materiels de calcul est de 40 MHz. Le temps 
d'execution d'un produit de Montgomery selon le procede de la figure 2 est de 
6475 nano-secondes. 
5 On congoit done a la lecture des resultats de ces tests que pour 

optimiser le temps d'execution d'un produit de Montgomery selon le procede 
de la figure 2 pour des grands nombres codes sur 512 bits le radix doit etre 
choisi egal a 4 bits. 

De fagon similaire il a ete determine qu'une valeur du radix egale a 
10 4 bits permet egalement d'optimiser le temps d'execution du calcul d'un produit 
de Montgomery selon le procede de la figure 2 pour des grands nombres 
codes sur 1024 bits. 

II existe une autre methode pour calculer des produits de 
Montgomery connue sous le nom de «Methode de Montgomery sous sa forme 
15 simple ». Cette methode correspond a la methode de Montgomery a radix 
eleve dans le cas ou le radix est egal a 1 bit Par consequent on ne decrira pas 
ici cette methode plus en detail, on considera simplement que le la methode de 
Montgomery a radix eleve inclus egalement le cas ou le radix est egal a 1 bit. 

Les figures 3A et 3B represented un schema electronique d'un 
20 additionneur de Carry-Save et un schema electronique d'un additionneur 
conventionnel. 

Sur ces schemas on note Aj Bj ,Dj ,Q et Sj respectivement les i 6 "* 
bits en partant de la droite de la representation binaire de variables A, B, D, C, 
et S, le bit le plus a droite de chaque representation binaire ayant un indice i 

25 egal a zero. 

L'additionneur de Carry-Save de la figure 3A comporte trois cellules 
40, 42 et 44. Ces cellules 40, 42 et 44 sont respectivement raccordees en 
entree a des premiers moyens de stockage (non representes) des bits Ao , B 0 
et D 0 , des bits Ai , B A et Di et des bits A 2 , B 2 et D 2 des variables d'entree A, B 

3 0 et D. Elles sont egalement raccordees en sortie respectivement a des seconds 
moyens de stockage (non representes) des bits C 1 et S 0l C 2 et Si, et C 3 et S 2 
des variables de sortie C et S. 
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La cellule 40 est adaptee pour calculer la valeur du bit S 0 selon la 
relation suivante : 

So : = A 0 © Bo © D 0 
ou : 

5 - A 0 , B 0 et D 0 sont les bits d'entree de la cellule; 

- © represente I'operation logique « ou exclusif » ; 

La cellule 40 est egalement adaptee pour calculer la valeur du bit Ci 
selon la relation suivante : 

Ci : = Ao -B 0 + Ao .D 0 + B 0 .D 0 
10 ou : 

- Ao ,Bo et Do ont ete definis ci-dessus; 

- + represente I'operation logique « ou » ; 

- . represente I'operation logique « et ». 

De fagon similaire a la cellule 40, la cellule 42 est adaptee pour 
15 calculer les bits de sortie C 2 et S<| selon les deux relations suivantes ; 
Si : = Ai © Bi © Di ; 
C 2 : = Ai .Bi + Ai .Di + Bi .Di ; 

De fagon similaire aux cellules 40 et 42, la cellule 44 est adaptee 
pour calculer les bits de sortie S 2 et C 3 selon les deux relations suivantes : 
20 S 2 : = A 2 © B 2 © D 2 ; 

C 3 : = A 2 .B 2 + A 2 D 2 + B 2 D 2 ; 

L'operation qui consiste a calculer les bits de sortie des variables S 
et C en fonction des bits d'entree selon les relations precedentes s'appelle une 
addition de Carry-Save. 
25 On remarquera qu'en sortie de I'additionneur de Carry-Save, le 

resultat de I'addition des trois variables d'entree A, B et D est enregistre dans 
les deux variables de sortie C et S, C et S formant ce que Ton appelle un 
couple de Carry-Save, note (C, S). Pour obtenir le resultat de I'addition des 
trois variables d'entree A, B et D dans une seule variable U, les variables C et 
3 0 S doivent etre recombinees selon la relation suivante : 
U : = C + S 
Ou : 
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- C et S sont les variables du couple du Carry-Save obtenues en 
sortie de I'additionneur de Carry-Save ; 

- + represente I'operation d'addition conventionnelle. 

La methode consistant a additionner les bits des variables d'entree 
5 selon les relations precedentes pour obtenir un couple de Carry-Save, puis a 
recombiner les variables du couple de Carry-Save pour obtenir le resultat final 
de I'addition des variables d'entree est connue sous le nom de « la methode 
de Carry-save ». Ainsi la methode de Carry-Save se compose d'une operation 
d'addition de Carry-Save suivie d'une operation de recombinaison du couple 
10 de Carry-Save. 

On note X le temps d'execution du calcul de C i et S 0 par la cellule 
40. On suppose que le temps d'execution du calcul de C2 et Si et de C3 et S 2 
par leurs cellules respectives 42 et 44 est egalement egal a X. Dans ces 
conditions, le temps d'execution de Taddition de Carry-Save entre les trois 
15 variables d'entree A, B et D est egal a X. En effet les bits des representations 
binaires des variables A, B et D sont traites en parallele par les cellules 40, 42 
et 44. Ce resultat peut etre generalise a des additionneurs de Carry-Save 
comportant de nombreuses cellules, de maniere a pouvoir realiser des 
additions de Carry-Save sur des grands nombres comme definit 
20 precedemment. 

On notera qu'un additionneur de Carry-Save peut egalement etre 
realise par des moyens logiciels tels qu'un programme permettant de mettre en 
oeuvre des traitements en parallele des operations d'addition de Carry-Save. 

La figure 3B represente un additionneur conventionnel adapte pour 
25 realiser Taddition conventionnelle de deux variables d'entree A et B et pour 
stacker le resultat dans une variable de sortie S. 

Cet additionneur conventionnel comporte trois cellules 48, 50, 52. 
La cellule 48 est raccordee a la sortie de premiers moyens de 
stockage (non representes) des bits Ao et B 0 et a I'entree de seconds moyens 
30 de stockage (non representes) du bit S 0 - Elle est egalement raccordee a une 
entree de la cellule 50. Cette cellule 48 est adaptee pour additionner de fagon 
conventionnelle les bits Ao et B 0 et pour transmettre la retenue de cette 
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addition a la cellule 50. Le resultat de cette addition est stocke dans les 
seconds moyens de stockage du bit S 0 . 

La cellule 50 est raccordee a la sortie de premier moyens de 
stockage (non representes) des bits Ai et Bi et a I'entree de seconds moyens 
5 de stockage (non representes) du bit Si- Elle est egalement raccordee a une 
entree de la cellule 52, Cette cellule 50 est adaptee pour additionner les bits Ai 
et Bi et pour transmettre la retenue de cette addition a la cellule 52. Le resultat 
de cette addition est stocke dans les seconds moyens de stockage du bit 

La cellule 52 est raccordee a la sortie de premiers moyens de 
10 stockage (non representes) des bits A 2 et B 2 et a I'entree de second moyens 
de stockage (non representes) des bits S 2 et S3- Cette cellule 52 est adaptee 
pour additionner les bits A 2 et B 2 , le resultat et la retenue de cette addition 
etant stockes dans les seconds moyens de stockage, respectivement dans les 
bits S 2 et S 3 . 

15 On note X le temps d'execution du calcul de S 0 par la cellule 48 et 

Ton suppose que le temps d'execution du calcul de Si et de S 2l S 3 
respectivement par les cellules 50 et 52 est identique a celui de la cellule 48. 
On remarque a la lecture de la description de cet additionneur conventionnel 
que I'execution du calcul de Si par la cellule 50 ne peut commencer que 

20 lorsque la cellule 48 a transmis la retenue de I'addition des bits Ao et B 0 f c'est- 
a-dire lorsque le calcul de S 0 est termine. De meme I'execution du calcul de S 2> 
S 3 par la cellule 52 ne peut commencer que lorsque la cellule 50 a fini le calcul 
de Si. Par consequent I'addition des deux variables d'entree A, B par 
I'additionneur de la figure 3B f necessite un temps d'execution de 3A,. 

25 On congoit des lors que pour additionner trois variables d'entree A, 

B et D a I'aide de I'additionneur conventionnel de la figure 3B, le temps 
d'execution du calcul est de 3A, pour une premiere addition de A a B auquel il 
convient de rajouter 3%, correspondant au temps d'execution d'une seconde 
addition entre le resultat de la premiere addition et la variable D. Ainsi la 

30 realisation d'une addition entre trois variables d'entree A, B et D a I'aide de cet 
additionneur conventionnel necessitent un temps de 6X. 
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On verifie bien a I'aide de cet exemple simplifie que le temps 
d'execution d'une addition conventionnelle est proportionnel aux nombres de 
bits des variables d'entree. 

A titre de comparaison on suppose que le temps d'execution X est le 
5 meme pour les cellules 40, 42, 44, 48, 50 et 52 des figures 3A et 3B. Ainsi, 
une addition de Carry-Save entre les variables A, B et D a I'aide de 
I'additionneur de Carry-Save s'execute en un temps de X. Pour obtenir le 
resultat de I'addition dans une seule variable, les variables C et S doivent etre 
recombinees en effectuant une operation d'addition conventionnelle entre 
10 celles-ci qui s'execute en un temps de 3X. Le temps total pour executer 
I'addition des variables A, B et D en mettant un oeuvre un additionneur de 
Carry-Save est alors egal a 41, contre 6X dans le cas ou Ton n'utilise que des 
additionneurs conventionnels. 

On realise egalement a la lecture de la description precedente que 
15 le gain de temps realise grace a la mise en oeuvre d'additionneurs de Carry- 
Save est d'autant plus important que les additions sont realisees sur des 
grands nombres. En effet, le temps d'execution d'une addition conventionnelle 
est proportionnel au nombre de bits des variables d'entree, ce qui n'est pas le 
cas pour une addition de Carry-Save. 

2 o Toutefois il est connu que I'utilisation d'additionneurs de Carry-Save 

ne presente d'interet que pour realiser des additions entre trois variables 
d'entree. De plus le resultat obtenu en sortie d'un additionneur de Carry-Save 
se presente sous la forme d'un couple de Carry-Save ce qui necessite de 
recombiner les variables de sortie C et S par une addition conventionnelle, 
25 limitant ainsi I'interet d'un additionneur de Carry-Save. II a egalement ete 
realise qu'il est difficile d'effectuer des operations arithmetiques sur une 
variable representee sous la forme d'un couple de Carry-Save. Par exemple on 
ne peut pas simplement effectuer une operation de division par une puissance 
de 2, notee 2* , d'un couple de Carry-Save selon la relation suivante : 

3 0 (C, S)/2 m : = (0/2", S/2 m ) 

ou C et S sont les variables du couple de Carry-Save. 
Cette difficulte est illustree sur I'exemple de la figure 4 ou : 
C = 0110 0000 0010 ;et 

BNSDOCID: <WO 02073450A1_I_> 



WO 02/073450 PCT/FR02/00897 

23 

S = 01001001 1110. 

En recombinant les variables C et S selon la relation C+S on obtient 
le resultat suivant : 

C+S= 10101010 0000 (= 680 dec.) 
5 En divisant le couple de Carry-Save recombine C+S par une 

puissance de deux, ici 16, on obtient alors le resultat suivant : 
(C+S) /1 6 = 10101010 (= 170 dec.) 

Maintenant si Ton effectue le meme calcul mais en inversant I'ordre 
des operations, c'est-a-dire que Ton realise d'abord I'operation de division et 
10 ensuite I'operation de recombinaison, on obtient alors successivement les 
resultats numeriques suivants : 

C/16 = 0110 0000 ; 

S/16 = 0100 1001 ; 

C/16 + S/16 = 1010 1001 (= 169 dec.) 
15 On remarque done que la simple division de chaque variable C et S 

par une puissance de deux ne permet pas d'obtenir le resultat exact. II est 
done necessaire de recombiner le couple de Carry-Save (C,S) avant 
d'executer une division d'une variable stockee sous la forme d'un couple de 
Carry-Save. II n'existe pas dans I'etat de la technique actuel de solution 

2 o connue a ce probleme. 

A la lecture des inconvenients connus des additionneurs de Carry- 
Save, on contort qu'il n'est pas evident de mettre en oeuvre ces additionneurs 
dans le cadre du calcul d'un produit de Montgomery. En effet les precedes 
connus de calcul d'un produit de Montgomery ne font intervenir que des 
25 operations d'additions entre deux variables et non pas trois. De plus ces 
precedes connus comportent, notamment dans la cas de la methode a radix 
eleve, des operations arithmetiques qui ne peuvent pas etre realisees sur des 
couples de Carry-Save, telles que I'operation 30 de la figure 2. 

La figure 5 represente un precede conforme a I'invention pour 

3 0 calculer un produit de Montgomery entre deux variables d'entree, notees a et 

b , correspondant aux residus calcules lors des etapes 4 et 6 du precede de la 
figure 1. On utilise pour presenter ce precede les memes notations que celles 
definies en regard de la figure 2. 
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La figure 5 comporte trois etapes principales 70, 72 et 74 
successives, I'etape 70 etant une etape d'initialisation, I'etape 72 etant une 
etape d'iteration d'une boucle d'operations, et I'etape 74 etant une etape de 
recombinaison et de reduction de resultat. 
5 L'etape 70 d'initialisation consiste a initialiser les variables 

necessaires pour le calcul du produit de Montgomery selon les relations 
suivantes : 

C1 : = 0 ; 

51 : = 0; 
10 C2:=0; 

52 : = 0 ; 
R: =0 ; 
Ou: 

- CI et S1 sont les variables d'un premier couple de Carry-Save 
15 note (C1 , S1 ) ; 

- C2 et S2 sont les variables d'un second couple de Carry-Save note 

(C2, S2) ; 

- R est une variable de stockage et de cumul de retenue dont 
I'interet apparaTtra a fa lecture de ia suite de la description. 

20 L'etape 70 consiste egalement a pre-calculer les premiers produits 

ai .b definis en regard de Toperation 24 de la figure 2. 

Pour cela on multiplie b par toutes les valeurs possibles de a , 

c'est-a-dire les entiers naturels compris entre 0 et 2® - 1 . 

La deuxieme etape 72 consiste a reiterer une boucle d'operations 
25 tant qu'un indice, note i, n'est pas superieur ou egal a une variable s-1, Tindice 

i etant increments a Tissue de chaque iteration de ia boucle. Cette boucle 

d'operations est notee de fagon conventionneile « for i=0 to s-1 ». La variable s 

qui determine le nombre d'iterations est definie de fagon analogue a celle de 

Tetape 18 de la figure 2. 
3 0 La boucle d'operations 72 comporte quatre operations 76, 78, 80 et 

82 successives. 
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L'operation 76 consiste a effectuer une premiere operation 
d'addition de Carry-Save entre les variables C2 divisee par 2®, S2 divisee par 
2 ffi et un des premiers produits a..b definis en regard de l'operation 24 de la 

figure 2. Cette operation d'addition est realisee a Taide d'un additionneur de 
5 Carry-Save selon la relation suivante : 

(C1, S1) : = C2/2 <a + S2/2 m + o^b 

ou : 

- to est le radix ; 

- (C1, S1) est le premier couple de Carry-Save forme par les 
10 variables C1 etS1; 

- a..b est un des premiers produits; 

- C2 et S2 sont les variables du second couple de Carry-Save (C2, 

S2). 

On remarquera que cette operation 76 remplit la meme fonction que 
15 les operations 24 et 30 de la figure 2 mais la premiere operation d'addition est 
realisee a I'aide d'un additionneur de Carry-Save. 

L'operation 78 consiste a realiser I'addition conventionnelle des 
variables C1 0 , S1 0 et (R/2 <Q ) 0 puis a affecter le resultat de cette operation a une 
variable m, selon la relation suivante : 
2 0 m:= (C1 0 + S1 0 + (R^o). n' 0 

ou : 

- C1 0 et S1o represented les (o bits de poids faible respectivement 
des variables C1 et S1, cd etant le radix. 

- (R^Jo represente les <o bits de poids faible du resultat de ia 
25 division de R par 2°\ g> etant le radix; 

- n' 0 est la variable calculee lors de I'etape 2 du procede de la figure 

1; 

- m est une variable dans laquelle le resultat est stocke. 
L'operation 80 consiste a effectuer une seconde operation d'addition 

30 entre les variables C1, S1 et un des seconds produits m.n definis en regard de 
l'operation 28 de la figure 2. Cette addition est realisee par un additionneur de 
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Carry-Save et le resultat est affecte aux variables C2, S2 du second couple de 
Carry-Save selon la relation suivante : 

(C2, S2): = C1+S1+m.n 

ou : 

5 - C1 et S1 sont les variables precedemment calculees ; 

- m.n est Tun des seconds produits ; 

- S2 et C2 sont les variables du second couple de Carry-Save. 

On notera que I'operation 80 remplit la meme fonction que la 
seconde operation d'addition 28 de la figure 2 mais elle est realisee a I'aide 
10 d'un additionneur de Carry-Save. 

L'operation 82 consiste a calculer la variable R en additionnant de 
fa$on conventionnelle les variables C2 0 , S2 0t et la valeur de la variable R. Le 
resultat est affecte a la variable R selon la relation suivante : 
R : = C2 0 + S2 0 + R 
15 Ou : 

- C2 0f S2 0 sont respectivement les a> bits de poids faible des 
variables C2 et S2, © etant le radix; 

- R est la variable de stockage et de cumul de retenues. 

En effet, il a ete decouvert que la difference de resultat entre 
20 I'operation (C2+S2)/2 G> et I'operation (C2/2° + S2/2 ffl ), telle qu'illustree par 
I'exemple de la figure 4, est egale a la retenue de I'operation C2 0 + S2 0 . On 
appelle done ici « la retenue qui risque d'etre perdue par la division de chaque 
variable C2 et S2 par une puissance de 2, notee 2" », la retenue de I'operation 
C2 0 + S2 0 . Cette operation 82 calcule done la retenue qui risque d'etre perdue 
25 par la division de chaque variable C2 et S2 du second couple du Carry-Save 
par la puissance T lors de I'operation 76. De plus, ici, I'operation 82 cumule la 
retenue de I'addition de C2 0 + S2 0 a chaque iteration de la boucle d'operations 
72 pour un usage ulterieur lors de I'etape 74. 

Uetape 74 de recombinaison et de reduction se compose d'une 
30 operation 84 de recombinaison suivie d'une operation 86 de reduction. 

L'operation 84 consiste a realiser une addition conventionnelle entre 
la variable C2 divisee par 2°, la variable S2 divisee par 2® et la variable 
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R divisee par 2°, le resultat etant affecte a une variable u selon la relation 
suivante : 

u : = C2 I2 m + S2 /2 m + R 12 01 
Ou : 

5 -oo est le radix ; 

- C2, S2 et R sont les variables precedemment calculees lors de la 
boucle d'operations 72; 

- u est une variable de stockage du resultat de reoperation. 



10 On notera que cette operation est une combinaison des operations 

suivantes : 

- Une division par 2® de chaque variable du couple du Carry-Save 

(C2, S2). 

- Une operation d'extraction du cumul des retenues calculees 
15 pendant ^execution de la boucle d'operations 72, cette operation etant realisee 

en decalant a droite de © bits la variable R. 

- Une operation de recombinaison du second couple du Carry-Save 
(C2, S2), calcule pendant Texecution de la boucle d'operations 72. 

- Une operation d'addition au second couple de Carry-Save 
20 precedemment recombine du cumul des retenues qui auraient ete perdues si 

elles n'avaient pas ete stockees et cumulees dans la variable R lors de 
Texecution de la boucle d'operations 72. Cette operation permet ainsi de 
restituer la veritable valeur du resultat a Tissue de la boucle d'operations 72 
malgre des operations de division de chaque variable d'un couple de Carry- 
25 Save. 

Uoperation 86 consiste a realiser une operation de reduction si la 
variable u est superieure au modulus n selon la relation suivante : 
u : = u - n 

oCi u est le resultat du produit de Montgomery. 
3 o Cette operation est notee de fa9on conventionnelle : « If u > n then 

u : = u — n . » 

Le procede de calcul d'un produit de Montgomery conforme a 
Tinvention est nettement plus rapide que le procede connu de la figure 2. En 
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effet la premiere et la seconde operations d'addition 76 et 80 sont realisees a 
I'aide d'additionneurs de Carry-Save alors que dans le procede connu les 
premiere et seconde operations d'addition 24 et 28 sont realisees a I'aide d'au 
moins un additionneur conventionnel. De plus le procede de la figure 5 devoile 
5 une methode pour realiser une division d'une variable representee sous la 
forme d'un couple de Carry-Save par une puissance de 2, ce qui evite une 
etape de recombinaison du couple de Carry-Save avant d'executer cette 
division. Cette acceleration du temps d'execution du produit de Montgomery 
est d'autant plus sensible que les variables d'entree a , b et n sont grandes 

10 c.a.d. codees sur un nombre de bits importants. (superieur a 320 bits) 

On notera que les operations 78 et 82 comportent des additions sur 
des petits nombres codes sur cd bits et qu'une optimisation du temps 
d'execution de ces deux operations n'a pas d'effet sensible. 

Par ailleurs les operations 84 et 86 sont executees moins 

15 frequemment que les operations de la boucle 72, par consequent une 
optimisation de leur temps d'execution, bien que possible, n'a pas autant 
d'effet que celle des operations de la boucle 72. Toutefois, en variante ces 
operations sont accelerees. Un mode de realisation de cette variante sera 
presente en regard de la figure 9. 

20 Dans une autre variante I'ensemble des seconds produits m.n sont 

calcules avant d'executer la boucle d'operations 72 et stockes dans une 

memoire. Ainsi les operations de calcul des premiers produits a..b et des 

seconds produits m.n pendant la boucle d'operations 72 sont remplacees par 
des operations de selection des resultats de ces calculs dans ladite memoire . 

25 En variante le radix cd est choisi egal a 4 bits de maniere a optimiser 

le temps d'execution du produit de Montgomery entre des variables d'entree 
codees sur 512 ou 1024 bits sur des moyens materiels de calcul. En effet, il a 
ete determine de fagon similaire a ce qui a ete decrit en regard du procede de 
la figure 2 que pour de telles variables d'entree une valeur du radix a> egale a 4 

3 0 bits accelere le temps d'execution du calcul du produit de Montgomery. 

De preference le mode de realisation sera une combinaison du 
procede de la figure 5 et des deux variantes decrites ci-dessus. 
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La figure 6 represente un procede de calcul d'une exponentiation 
rnodulaire selon la methode m-ary, pour effectuer le calcul suivant : 
M E mod n 
Ou : 

5 - M, E et n sont des entiers naturels codes en binaire sur k bits au 

maximum, 

- M est le message ; E est I'exposant ; et n est le modulus. 

La methode m-ary pour calculer une exponentiation rnodulaire etant 
connue, la description qui suit n'a pour but que d'introduire les elements 
io necessaires a la comprehension de I'invention. Le lecteur se refera au 
document D1 chapitre 2.4 « The m-ary Method » pour des informations plus 
detaillees. 

La figure 6 cornporte quatre etapes successives 90, 92, 94 et 96. 
L'etape 90 consiste a calculer et a enregistrer dans une memoire les 
15 exponentiations de la variable M suivantes : 
M a mod n ; 
Ou : 

- M est le message ; 

- a est un exposant ; 
20 - n est le modulus. 

L'exponentiation precedente est calculee pour toutes les valeurs de 
I'exposant a comprises entre 2 et m-1, m etant egal a 2 r , ou r est un 
parametre predefini par I'utilisateur. Cette etape est representee de fagon 
conventionnelle sur la figure 6 par le symbole « M a mod n for all a = 2, 4, ....m- 
25 1 ». 

Uetape 92 consiste a decouper la representation binaire de 
I'exposant E en s' mots de r bits, notes chacun F, ,oui est un indice du mot et 

varie de 0 pour le mot le plus a droite de la representation binaire de E a s'-1 
pour le mot le plus a gauche de cette meme representation binaire. s' est 
30 calcule selon la relation suivante : 
k = s' . r 
Ou : 
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- k est le nombre de bits de la representation binaire de E; 

- r est le parametre predefini. 

Si k n'est pas divisible par r, des bits egaux a 0 sont ajoutes a 
gauche de ia representation binaire de Texposant E pour obtenir une 
5 representation binaire comportant un nombre de bits divisible par le parametre 
r. Par exemple, si r et k sont respectivement egaux a 5 et 512 bits alors 3 bits 
de valeur nulle sont ajoutes sur la gauche de la representation binaire de 
Texposant E pour obtenir une representation binaire comportant 515 bits ce qui 
permet d'obtenir s'egale 103. 
io On obtient les differents mots F, , par exemple, par des operations 

successives de decalage a gauche de Texposant E de r bits dans un registre a 
decalage a gauche. 

L'etape 94 consiste a calculer M F ''- 1 mod n et a affecter le resultat a 
une variable C selon la relation suivante : 
15 C : = M F **- 1 mod n ; 

Ou : 

- n est le modulus ; 

- F s *-i est le (s'-1) enieme mot determine lors de l'etape 92 ; 

- M est le message ; 

20 - C est la variable dans laquelle est stocke le resultat de Toperation 

94. 

L'etape 96 consiste a reiterer une boucle d'operations tant que 
I'indice i initialise a la valeur de s'-2 n'est pas inferieur ou egal a 0, I'indice i 
etant decrements a Tissue de chaque iteration de la boucle. Cette boucle 
25. d'operations est notee de fagon conventionnelle « for i=s'-2 downto 0 ». La 
variable s' qui determine le nombre d'iterations a ete definie precedemment. 

Cette boucle d'operations comporte deux operations 98, 100 
successives. 

L'operation 98 consiste a calculer une exponentiation modulaire de 
30 la variable C puis a affecter le resultat dans la variable C selon la relation 
suivante : 

C : =C r mod n 
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Ou : 

- C est la variable initialisee lors de I'etape 94 ; 

- r est le parametre predefini; 

- n est le modulus. 

5 L'operation 100 consiste a calculer une multiplication modulaire de 

la variable C, precedemment obtenue lors de l'operation 98, par la variable M F ' 
si le mot F i est different de 0 selon la relation suivante : 

C : = C. M^'mod n 
Ou : 

10 - n est le modulus ; 

- F . est le mot d'indice i determine lors de I'etape 92 ; 

- C est la variable precedemment calculee lors de l'operation 98. 
Cette operation est representee de fagon classique sur la figure 6 

par le symbole « If F f - *Q Then C : = C. M Fi mod n ». 

15 A Tissue de I'execution de fa boucle d'operations 96, la variable C 

contient le resultat de I'exponentiation modulaire du message M. 

La methode de m-ary decrite ci-dessus pour calculer une 
exponentiation modulaire met en oeuvre approximativement 6 operations de 
20 multiplication modulaire, 8 etant calcule par la relation suivante : 
5 = 2 r -2 + k - r + (k/M ) (1 - 1/2 r ) 
Ou: 

- k est le nombre de bits de Texposant E ; 

- r est le parametre predefini. 

25 Ceci represente une reduction du nombre d'operations par rapport a 

d'autres precedes connus tels que Talgorithme binaire LR, de 17 a 18 % 
lorsque {'exponentiation porte sur des grands nombres codes sur 512 ou 1024 
bits. Toutefois certaines methodes sont connues pour etre encore plus rapides, 
telles que par exemple Talgorithme binaire RL qui permet un parallelisme des 

30 operations. Cependant il a ete determine de fagon experimentale que la 
methode m-ary pour un parametre r choisi egal a 5 bits est un compromis 
optimal entre le nombre d'operations de multiplication modulaire effectuees et 
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les ressources necessaires pour mettre en oeuvre cette methode. Par 
ressources on designe par exemple le nombre de cellules d'un composant 
FPGA. 

La figure 7 illustre un procede de calcul d'une exponentiation 
5 modulaire conforme a Tinvention illustre dans le cas du calcul de 
I'exponentiation suivante : 
M E mod n 
Ou : 

- M, E et n sont des entiers naturels codes en binaire sur 512 bits au 
10 maximum ; 

- M est le message : 

- E est I'exposant ; et 

- n est le modulus 

Le procede d' exponentiation modulaire conforme a i'invention met 
15 en oeuvre la methode m-ary dans laquelle les multiplications modulaires sont 
realisees selon le procede de Montgomery decrit en regard de la figure 1. Les 
produits de Montgomery mis en oeuvre par le procede de Montgomery sont, 
par exemple, calcules selon le procede de la figure 5 avec un radix egal a 4 
bits. De plus dans le cas particulier decrit lei le parametre r de la methode de 
20 m-ary est choisi egal a 5 bits de maniere a accelerer le temps d'execution du 
calcul de I'exponentiation pour des variables d'entree codees sur 512 ou 1024 
bits. 

Ce procede comporte sept etapes 110, 112, 114, 116, 118, 120 et 
122 successives. 

25 L'etape 110 consiste a calculer le residu de Montgomery du 

message M selon la relation suivante : 
M : = M.p mod n 
oCi : 

- M est le message; 

30 - p est le parametre de la methode de Montgomery defini lors de 

l'etape 4 du procede de la figure 1 selon la relation suivante : p = 2 k , oO k est le 
nombre de bits du modulus n ; 

- n est le modulus ; 
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- M est la variable dans lequel est enregistre le residu du message 

M. 

Le calcul du residu de M s'effectue par des methodes classiques 
telles que ralgorithme d'Euclide etendu. 
5 L'etape 112 consiste a calculer la variable rV 0 selon la relation 

suivante n' 0 = - n 0 ~ 1 - Ce calcul ayant deja ete decrit en regard de l'etape 2 de 
la figure 1 il ne sera pas decrit ici plus en detail. Ce calcul s'effectue egalement 
par des methodes classiques telles que ralgorithme d'Euclide etendu. 

L'etape 114 consiste a calculer I'ensemble des seconds produits 
10 m.n. Pour cela le produit m.n est calcule pour chaque valeur de m comprise 
entre 0 et 15. En effet, I'examen de Poperation 26 de la figure 2 montre que m 
est congru a u 0 . n' 0 modulo 2°\ de sorte que la valeur de m ne peut etre 

comprise qu'entre 0 et 1 5 lorsque le radix co est egal a 4 bits. 

L'etape 116 consiste a elever a la puissance a le residu M au sens 

15 de Montgomery, pour I'ensemble des differentes valeurs de a comprises entre 
2 et 31 . En effet le parametre r de la methode m-ary est ici egal a 5 bits, il 
decoule de l'etape 90 du procede de la figure 6 qu'il n'est pas necessaire de 
calculer les puissances Msuperieures a 31. Cette etape 116 est par exemple 
realisee par trente et un produits de Montgomery successifs selon la relation 

20 suivante : 

M a = MonPro(M,M a " 1 ) 

ou MonPro designe un produit de Montgomery calcule par exemple 
selon le procede de la figure 5. 

Lors de cette etape, les operations suivantes sont successivement 
25 effectuees : 

M 2 : = MonPro (M ,M ), ou M a ete calcule lors de l'etape 110; 

M 3 : = MonPro (M, M 2 ), oil M 2 a ete calcule lors de I'operation 
precedente ; 

etc ... 

3 0 Ainsi on obtient successivement M 2 jusqu'a M 31 . 
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L'etape 118 consiste a decouper I'exposant E en une succession de 
mots de 5 bits appeles F. conformement a l'etape 92 de la methode m-ary 
decrite en regard de la figure 6. Ensuite, toujours dans l'etape 118, la valeur de 

M est affectee a une variable C selon la relation suivante : 

5 C:=M F102 

Ou F 102 est le 102 enieme mot Fj tel que defini en regard de l'etape 
94 de la figure 6. 

On notera que iors de cette etape, M F 102 n'a pas besoin d'etre 
calcule puisque ce calcul a deja ete effectue Iors de l'etape 116. 

10 L'etape 120 consiste a reiterer une boucle d'operations tant qu'un 

indice i initialise a la valeur 101 n'est pas strictement inferieur a 0, I'indice » 
etant decrements del a chaque iteration de la boucle d'operations. La valeur 
initial de I'indice i est calculee conformement a l'etape 96 de la figure 6 pour un 
parametre r de la methode m-ary egal a 5 bits et une valeur de la variable k 

15 egale a 515 bits. 

La boucle d'operations se compose de deux operations successives 
126 et 128. 

L'operation 126 consiste a calculer et a stacker I'elevation a la 
puissance 32 de la variable C selon la relation suivante : 
20 C : = C 32 

Ou : 

-C est la variable initialisee a l'etape 118 ; 

32 est calcule conformement a l'operation 98 de la methode m-ary 
de la figure 6, selon la relation 32= 2 5 , ou 5 est la valeur du parametre r de la 
25 methode m-ary. 

L'operation 128 consiste a calculer le produit de Montgomery de la 

variable C par la variable M F ' et a stacker ce resultat selon la relation 
suivante : 

C : = MonPro (C,M F| ) 
30 ou : 
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- M F 1 est selectionne parmi les puissances de M calculees a I'etape 
116 connaissant la valeur de Fj ; 

- MonPro designe ^operation produit de Montgomery, par exemple 
executee conformement au procede de la figure 5. 

5 On notera que cette operation 128 comporte egalement un test de 

la valeur de Fj de maniere a executer le produit de Montgomery que si la 
valeur de Fj est differente de 0. 

En variante le produit de Montgomery est systematiquement 
execute pour eviter le test de la valeur de Fj. 
10 A Tissue de I'etape 120, I'etape 122 est executee. Cette etape 

consiste a calculer le produit de Montgomery entre la variable C et I'unite 1 et 
a stacker ce resultat, selon la relation suivante 

C := MonPro (C,1) 

Ou : 

15 - C est la variable calculee a I'etape 120 ; 

1 represente I'unite ; 

C est une variable dans laquelle est enregistree le resultat de 

I'exponentiation modulaire du message d'entree M. 

On remarque que la combinaison de la methode m-ary et du 
20 procede de Montgomery pour calculer des multiplications modulaires est 

particulierement interessant dans le cas du calcul d'une exponentiation 

puisque le residu de Montgomery du message d'entree M n'est calcule qu'une 

seule fois. Uinconvenient du procede de Montgomery, c'est-a-dire la necessite 

de calculer les residus des variables d'entree avant d'effectuer des produits de 
25 Montgomery est ainsi limite. Cette combinaison de la methode m-ary et du 

procede de Montgomery permet done d'accelerer le temps d'execution du 

calcul d'une exponentiation modulaire. 

En variante on peut egalement combiner le procede de la figure 7 a 

la methode des restes chinois (egalement appelee methode CRT). La methode 
3 0 des restes chinois est succinctement decrite a la figure 8. Cette methode etant 

connue, le lecteur se referera pour plus de detail au chapitre 4.1: « Fast 

Decryption using CRT » du document D1 . 
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La methode des restes chinois permet de decomposer une premiere 
operation d'exponentiation modufafre en deux secondes operations 
d'exponentiation modulaire avec des exposants et des modulus plus petits. 

La premiere exponentiation modulaire est notee comme suit : 
5 M E mod n 

ou : 

- M est un message d'entree; 

- E est un exposant; 

- n est un modulus se decomposant sous la forme d'un produit tel 
10 que n=P.Q, ou P et Q sont des entiers naturels premiers. 

Dans une premiere etape 130, cette premiere exponentiation est 
decomposee en deux secondes exponentiations respectivement modulo E1 et 
E2 que Ton calcule separement, selon les relations suivantes : 

M1 : = M E1 mod P 
15 M2 : = M E2 mod Q 

ou : 

- M est le message d'entree ; 
-E1 =Emod(P-1); 

-E2 = Emod (Q-1); 

20 - M1 et M2 sont des variables de stockage des resultats 

intermediates. 

Dans une etape 134 suivante, le resultat de la premiere 
exponentiation modulaire est obtenu en combinant les variables M1 et M2 
precedemment calculees, selon la relation suivante : 
25 M : = M2 + I(M1 - M2). (Q~ 1 mod P) mod PJ. Q 

Ou : 

- M1 et M2 sont les variables calculees a I'etape 130; 

- Q et P sont les nombres premiers tels que n = P.Q. 

k etant le nombre de bits necessaires pour coder le modulus n, il est 
3 0 possible de choisir P et Q tel que P et Q aient un nombre de bits sensiblement 
egal a k/2. Dans ces conditions, on estime que la methode des restes chinois 
permet de reduire d'un facteur 4 le nombre d'operations requises pour calculer 
la premiere exponentiation, lorsque celle-ci est mise en oeuvre par des moyens 
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logiciels de calcul. Ce facteur est de I'ordre de 2 lorsque la methode des restes 
chinois est mise en oeuvre par des moyens materiels de calcul tels qu'un 
composant FPGA. De plus, pour accelerer le temps d'execution du calcul de la 
premiere exponentiation, les calculs des variables M1 et M2 peuvent etre 
5 effectues en parallele. 

On notera que cette methode permet ainsi de decomposer une 
premiere exponentiation modulaire portant sur des grands nombres codes sur 
1024 bits en deux secondes exponentiations modulaires portant sur des 
grands nombres codes sur 512 bits. 

10 Des estimations de temps de calcul d'une premiere exponentiation 

modulaire ont ete effectuees dans les conditions suivantes : 

- la premiere exponentiation modulaire portant sur des grands 
nombres de 1024 bits est decomposee en deux secondes exponentiations 
modulaires de 51 2 bits chacune. 

15 - chacune des secondes exponentiations modulaires est calculee 

selon le precede de la figure 7 dans lequel les produits de Montgomery sont 
calculees selon le procede de la figure 5. 

Dans ces conditions lorsque le procede est mis en oeuvre par un 
composant FPGA travaillant a 40 MHz le temps d'execution du calcul de la 

2 0 premiere exponentiation est sensiblement egal a 4.71 milli secondes. 

Dans les memes conditions mais pour des grands nombres codes 
sur 1024 bits il a ete determine que le temps d'execution du calcul d'une 
premiere exponentiation est sensiblement egal a 1 7.8 milli secondes 

La figure 9 represente schematiquement des moyens materiels de 

25 calcul 150 conforme a Pinvention. Ces moyens materiels sont appeles ici 
« multiplieur de Montgomery ». Sur cette figure seuls les elements specifiques 
a I'invention ont ete representes. Les autres composants non representes mais 
necessaires a la mise en oeuvre du procede de la figure 5 peuvent etre 
aisement determines, de fagon classique a partir des elements decrits 

30 precedemment. Ainsi les composants necessaires pour mettre en oeuvre les 
operations 78 et 82 de la figure 5 ainsi que les operations de divisions n'ont 
pas ete representes. De meme les tampons de stockage des variables C1 , S1 , 
C2, S2, R et u ne sont pas representes. 



WO 02/073450 PCT/FR02/00897 

38 

Ce multiplieur 150 comporte une memoire 152 raccordee a I'entree 
et a la sortie de moyens 154 de calculs specifiques, sous le controls de 
moyens de commande 156. 

Le multiplieur de Montgomery 150 decrit ici a titre d'exemple est 
5 adapte pour cooperer avec des moyens principaux de calcul (non 
representes). Ces moyens principaux de calcul executant par exemple une 
exponentiation modulaire selon le procede de la figure 7. Dans une telle 
situation le multiplieur de Montgomery 50 est un coprocesseur permettant 
d'acc6lerer le temps d'execution des produits de Montgomery. 
io La memoire 152 est raccordee par I'intermediaire de bus d'entree / 

sortie de donnees aux moyens principaux de calcul (non represents). 

La memoire 152 est adaptee pour stacker les variables suivantes : 

la variable M calculee lors de I'etape 1 10 du procede de la figure 7 ; 

ia variable n' 0 calculee lors de I'etape 1 12 du procede de la figure 7 ; 
15 les seconds produits m.n calcules lors de I'etape 1 14 du procede de 

la figure 7 ; 

les variables M a calculees lors de I'etape 1 16 de la figure 7 ; 

la variable C initialisee lors de I'etape 118 et calculee lors des 
operations 126 et 128 du procede de la figure 7 ; 
20 I'unite 1 necessaire pour la realisation de I'etape 122 du procede de 

la figure 7 ; et 

les premiers produits ii. b pre-calcules lors de I'etape 70 du 
procede de la figure 5. 

Les moyens 154 de calculs specifiques comportent un premier et un 
25 second additionneurs de Carry-Save 157, 158, un premier et un second 
additionneurs conventionnels 160 et 162, un registre a decalage a droite 164 
etun soustracteur conventionnel 166. 

Le premier additionneur de Carry-Save 157 est raccorde a une 
sortie de la memoire 152 et a une sortie du second additionneur du Carry-Save 
30 158. II est egalement raccorde a I'entree du second additionneur de Carry- 
Save 1 58. Cet additionneur de Carry-Save est ici destine a realiser la premiere 
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operation d'addition 76 du procede de la figure 5. Sa structure est classique et 
decoule de celle decrite en regard de la figure 3A. 

Le second additionneur de Carry-Save 158 est raccorde a la sortie 
de la memoire 152 et a une sortie du premier additionneur de Carry-Save 157. 
5 II est egalement raccorde a une entree du premier additionneur de Carry-Save 
157. Cet additionneur 158 est, ici, destine a realiser la seconde operation 
d'addition 80 du procede de la figure 5. Sa structure est similaire a celle du 
premier additionneur de Carry-Save 1 57. 

Le premier additionneur conventionnel 160 est raccorde a une 
10 entree et a la sortie de la memoire 152. Cet additionneur est destine a realiser 

le pre-calcul des premiers produits ai . b et des seconds produits m.n. Par 
exemple le calcul des seconds produits m.n est realise selon la succession de 
calculs suivant : 

2.N := N+N 
15 3.N := N+2.N 

4.N := N+ 3.N 

etc... 

Les resultats des calculs des premiers et des seconds produits sont 
ensuite stockes dans la memoire 1 52 aux emplacements prevus a cet effet. 

20 Le second additionneur conventionnel 162 est raccorde a la sortie 

du second additionneur de Carry-Save 158 et a une entree du soustracteur 
166. Ce second additionneur 162 est destine a realiser ['operation de 
recombinaison 84 de la figure 5. Sa structure decoule de celle decrite en 
regard de la figure 3B. Toutefois les cellules qui le composent telles que la 

25 cellule 48 de la figure 3B, sont regroupees en etages de 32 cellules. La sortie 
de chaque etage est directement raccordee a un etage correspondant dans le 
soustracteur 166 de maniere a ce que, des que le calcul de Taddition dans un 
des etages est fini, le resultat est directement transmis a I'etage correspondant 
du soustracteur 166 sans attendre. Ainsi le soustracteur 166 execute 

30 I'operation de soustraction avec seulement un cycle d'horloge de retard sur 
I'operation d'addition. Cette structure est connue sous le nom de « Pipe line », 
et permet d'accelerer le temps d'execution des operations. 
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Le soustracteur 166 est adapte pour realiser ['operation 86 de la 
figure 5. II est done par exemple raccorde aux sorties du second additionneur 
conventionnel 162 et de la memoire 152. II est egalement raccorde a une 
entree de la memoire 152, par exemple, pour stacker le resultat de Poperation 
5 de reduction 86. 

Le registre a decalage a droite164 est adapte pour decaler a droite 
de © bits, co etant le radix de la methode de Montgomery a radix eleve. Ce 
registre 164 est destine a realiser les operations calcul des ai , le resultat etant 
alors utilise pour selectionner Tun des premiers produfts ai . b correspondant 
10 dans la memoire 152. Les connexions du registre a decalage 164 avec les 
autres composants de la figure 9 n'ont pas ete representees pour simplifier la 
representation schematique, de telles connexions pouvant aisement etre 
determinees. 

Les moyens de commande 156 sont adaptes pour commander le 
15 fonctionnement des moyens de calculs specifiques 154 et de la memoire 152 

conformement au procede de la figure 5. Ces moyens de commande sont 

realises de fagon classique. 

L'ensemble des elements de la figure 9 sont, par exemple, 

implantes dans un composant FPGA ou dans un corfiposant ASIC. En variante 
20 ce composant est associe a d'autres composants electroniques sur une carte 

electronique de maniere a realiser une carte electronique conforme au 

standard PCI. Une carte conforme au standard PCI est enfichable dans des 

ordinateurs classiques, ces demiers etant alors adaptes pour former les 

moyens principaux de calcul. 
25 Dans le cas d'un composant FPGA dont la reference est XILINX 

XCV1600E-6 fonctionnant a 45 MHz, les estimations du nombre de cycles 

d'horloge requis pour executer chaque etape du procede de la figure 5 sont les 

suivantes : 

35 cycles d'horloge pour I'etape 70 ; 
3 0 260 cycles d'horloge pour I'etape 72 ; 

39 cycles d'horloge pour I'etape 74 de recombinaison et de 

reduction. 
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Ainsi ('estimation du nombre de cycles d'horloge total pour calculer 
un produit de Montgomery selon le procede de la figure 5 est de 334 cycles 
d'horloge pour des variables d'entree codees sur 512 bits. 

Dans ces conditions il a egalement ete estime que le procede de la 
5 figure 7 met en oeuvre 643 produits de Montgomery et que I'etape 114 de la 
figure 7 de pre-calcul des seconds produits m.n necessite 38 cycles d'horloge. 
On obtient ainsi une estimation du nombre de cycles d'horloge necessaires 
pour calculer une exponentiation modulaire portant sur des grands nombres de 
512 bits egale a 214223 cycles d'horloge. Ceci correspond pour une frequence 

10 de fonctionnement du composant FPGA de 45 MHz a un nombre 
d'exponentiations 512 bits sensiblement superieur a 200 par seconde. On 
notera que pour cette estimation on considere que les etapes 110 et 112 du 
procede de la figure 7 sont executees par les moyens principaux de calcul 
associes au multiplieur de Montgomery 150. Par consequent le nombre de 

15 cycles d'horloge requis pour executer ces deux operations n'est pas pris en 
compte dans cette estimation. On admet toutefois que leur temps d'execution 
est approximativement 10 fois inferieur a celui des etapes 1 14 a 122. 

En variante les moyens de calculs specifiques 154 comportent un 
seul additionneur de Carry-Save. En effet lors de I'execution du procede de la 

20 figure 5, la premiere operation d'addition 76 precede toujours la seconde 
operation d'addition 80 puisque le resultat de la premiere addition 76 est utilise 
dans cette seconde operation d'addition 80. Par consequent le premier et le 
second additionneurs de Carry-Save 157, 158 ne sont jamais actifs en meme 
temps, il est done possible de les remplacer par un seul additionneur de Carry- 

25 Save realisant alternativement la premiere operation d'addition 76 et la 
seconde operation d'addition 80. 

La figure 10 represente schematiquement des moyens materiels de 
calcul 200 conforme a I'invention associes a des moyens principaux de calcul 
201. Sur ce schema seuls les composants electroniques principaux ont ete 

30 representes, les autres composants pouvant etre aisement determine. 

Les moyens principaux de calcul 201 sont adaptes pour realiser des 
exponentiations modulaires selon le procede de la figure 7 en cooperant avec 
les moyens materiels de calcul 200. lis sont, par exemple, formes avec un 
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ordinateur. Dans le cas particulier decrit ici f les moyens 201 sont adaptes pour 
realiser une premiere et une seconde exponentiations modulaires. La premiere 
et la seconde exponentiations modulaires sont chacune realisees selon le 
precede de la figure 7 et par consequent mettent en oeuvre respectivement 
5 des premiers et des seconds produits de Montgomery. 

Les moyens materiels de calcul 200 sont adaptes pour former un 
coprocesseur pour les moyens principaux de calcul 201. II comporte un 
multiplieur de Montgomery 202 associe a des moyens de decalage a gauche 
204, sous la commande de premiers moyens de commande 206. 
io Le multiplieur de Montgomery 202 est une variante du multiplieur de 

Montgomery 150 de la figure 9 dans lequel ('utilisation des ressources est 
optimisee. En effet ii est adapte pour executer sensiblement en parallele les 
premiers et les seconds produits de Montgomery sans pour autant dedoubler 
les ressources a mettre en oeuvre. II perrnet ainsi de diviser par deux le temps 
15 d'execution de deux produits de Montgomery. 

Ce multiplieur de Montgomery 202 comporte une memoire 210 
associee a des moyens de calculs specifiques 212, sous le controle de 
seconds moyens de commande 214. De meme que sur la figure 9, seuls les 
composants principaux ont ete representee les autres composants sont 
2 o aisement determinables. 

La memoire 210 est adaptee pour stacker les variables suivantes : 
le residu M d'un message d'entree M de la premiere 
exponentiation, calcule lors de I'etape 110 du procede de la figure 7 par les 
moyens de calcul 201. 

25 le residu M' d'un message d'entree M f de ia seconde 

exponentiation, calcule lors de I'etape 110 du procede de la figure 7 par les 
moyens de calcul 201 . 

- les variables n' 0 et n" 0 calculees lors des etapes 112 du procede 
de la figure 7 respectivement pour la premiere et la seconde exponentiations 
30 modulaires; 

les seconds produits m.n et m'.n' calcules lors des etapes 114 du 
procede de la figure 7 respectivement pour la premiere et la seconde 
exponentiations modulaires ; 
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les variables M a est M ,a calculees lors des etapes 116 du procede 
de la figure 7 respectivement pour la premiere et la seconde exponentiations 
modulaires ; 

les variables C et C' calculees lors de Tetape 118 et lors des 
5 operations 126 et 128 du procede de la figure 7 respectivement pour la 
premiere et la seconde exponentiations modulaires ; 

I'unite 1 necessaire pour executer I'etape 122 du procede de la 

figure 7 ; 

les modulus n et n' respectivement de la premiere et de la seconde 
10 exponentiations modulaires. 

La memoire 210 comporte un premier et un second tampons 
d'entree de donnees de maniere a enregistrer simultanement deux donnees 
differentes. Elle comporte egalement un premier et un second tampons de 
sortie de donnees de maniere a mettre simultanement a disposition des 
15 moyens de calculs specifiques 212 deux donnees differentes, une dans 
chaque tampon de donnees. 

Les moyens 212 de calculs specifiques comportent un premier et un 
second registres a decalage a droite 216, 218, un premier et un second 
additionneurs conventionneis 220, 222, un bloc d'additionneurs de Carry-Save 
2 o 224 et un bloc 226 de recombinaison et de reduction. 

Le premier registre a decalage a droite 216 est raccorde au premier 
tampon de sortie de donnees de la memoire 210 et a Tentree du premier 
additionneur conventionnel 220. Ce premier registre a decalage 216 est 
destine a etre utilise lors des operations de calcul de la premiere 
25 exponentiation modulaire. Ainsi ce registre est utilise de fagon similaire au 
registre 1 64 de la figure 8 pour calculer les a. . 

Le second registre a decalage 218 est similaire au premier registre 
a decalage 216. Toutefois celui-ci est raccorde au second tampon de sortie de 
donnees de la memoire 210 et a Tentree du second additionneur conventionnel 
30 222. Ce registre a decalage est destine a etre utilise lors des operations de 
calcul de la seconde exponentiation modulaire. 
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Le premier additionneur conventionnel 220 est raccorde au premier 
tampon d'entree de donnees de la memoire 210. Cet additionneur 
conventionnel 220 est destine a etre utilise pour le calcul de la premiere 
exponentiation modulaire. Sa structure et son fonctionnement sont similaires a 
5 I'additionneur conventionnel 160 de la figure 8. 

Le second additionneur conventionnel 222 est raccorde en sortie du 
second registre a decalage 118 et au second tampon d'entree de la memoire 
210. Sa structure et son fonctionnement sont similaires a I'additionneur 
conventionnel 160 de la figure 8. 

10 Le bloc 224 d'additionneurs de Carry-Save est raccorde au premier 

et au second tampons de sortie de donnees de la memoire 210, et a Tentree 
du bloc 226 de recombinaison et de reduction. Ce bloc 224 comporte deux 
additionneurs de Carry-Save 230 et 232. Le premier et le second additionneurs 
de Carry-Save 230, 232 sont respectivement adaptes pour realiser la premiere 

15 operation d'addition 76 et la seconde operation d'addition 80 du precede de la 
figure 5. Ces deux additionneurs de Carry-Save 230, 232 sont commandes par 
les seconds moyens de commande 214 pour que les operations de calcul du 
premier et du second produits de Montgomery soient entrelacees. Ainsi apres 
une phase ^initialisation, la premiere operation d'addition 76 pour le premier 

20 produit de Montgomery est executee par le premier additionneur de Carry- 
Save 230 tandis que, dans le m£me temps, la seconde operation d'addition 80 
pour le second produit de Montgomery est executee par le second 
additionneur de Carry-Save 232. Ensuite lors des operations suivantes 
d'execution de la boucle d'operations 72, la situation s'inverse, c'est-a-dire que 

25 I'additionneur de Carry-Save 230 execute la premiere operation d'addition 76 
pour le calcul du second produit de Montgomery tandis que, dans le meme 
temps, le second additionneur de Carry-Save 232 execute la seconde 
operation d'addition 80 pour le calcul du premier produit de Montgomery. Les 
seconds moyens de commande 214 mettent a profit le fait que dans le 

30 precede de la figure 5 applique au calcul d'un seul produit de Montgomery, la 
premiere et la seconde operations d'addition sont toujours successives et ne 
peuvent pas etre realisees en meme temps. Par consequent lors du calcul d'un 
seul produit de Montgomery il existe toujours un additionneur de Carry-Save 
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inactif. Ainsi les seconds moyens de commande decrits ici, commandent 
I'additionneur de Carry-Save inactif pour executer une operation d'addition 
destinee a un second produit de Montgomery execute en parallele avec le 
premier. 

5 Le bloc 226 de recombinaison et de reduction se compose d'un 

additionneur conventionnel 236 raccorde A I'entree d'un soustracteur 
conventionnel 238. L'additionneur conventionnel 236 est raccorde a ia sortie 
du bloc 224 d'additionneurs de Carry-Save. Cet additionneur conventionnel 
236 est adapte pour realiser I'operation 84 de recombinaison du procede de la 
10 figure 5. 

Le soustracteur 238 est raccorde par exemple a I'entree des 
moyens principaux de calcul 201 apte a utiliser le resultat du produit de 
Montgomery. Le soustracteur 238 est adapte pour realiser I'operation de 
reduction 86 du procede de la figure 5. 

is Les seconds moyens de commande 214 sont realises de fagon 

conventionnelle et sont raccordes a I'ensemble des composants du multiplieur 
de Montgomery 202. lis sont egalement adaptes pour commander les 
differentes operations de calcul du premier et du * second produits de 
Montgomery realisees par le multiplieur de Montgomery 202. 

20 Le multiplieur de Montgomery 202 est realise, par exemple, a I'aide 

d'un composant FPGA ou ASIC. 

Les moyens 204 de decalage a gauche sont raccordes a I'entree et 
a la sortie des moyens principaux de calcul 201 sous la commande des 
premiers moyens de commande 206. 

25 Les moyens 204 pour effectuer un decalage a gauche comportent 

une memoire 240 de type RAM (Random Access Memory) dans laquelle sont 
stockes un premier et un second exposants correspondant respectivement a 
ceux de la premiere et de la seconde exponentiations modulaires. Le premier 
et le second exposants sont notes respectivement E1 et E2. Cette memoire 

30 240 est raccordee a I'entree d'un premier et d'un second registres a decalage 
a gauche 242, 244 de r bits, r etant le parametre de la methode m-ary. 

Le registre a decalage a gauche 242 est adapte pour determiner et 
fournir les variables Fj issues de I'exposant E1 conformement a I'etape 118 du 
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precede de la figure 7. Ce registre a decalage comporte un nombre de bits 
inferieur a celui de I'exposant E1, par exemple 32 bits alors que I'exposant E1 
est code sur 512 bits. Ainsi des que I'ensemble des bits contenus dans ce 
registre ont ete decales, le registre est immediatement recharge avec les 32 
5 bits suivants de I'exposant E1 extrait de la memoire 240. Ceci permet d'utiliser 
un registre a decalage de 32 bits pour decaler des nombres codes sur un 
nombre de bits superieurs. 

Le registre a decalage a gauche 244 est similaire au registre a 
decalage 242, toutefois il est destine a fournir les variables Fj issues de 

10 I'exposant E2. 

Les premiers moyens de commande 206 sont raccordes aux 
moyens 204 de decalage a gauche et aux seconds moyens de commande 
214. Us sont adaptes pour commander les moyens 204 de decalage a gauche 
et le multiplieur de Montgomery 202 par rintermediaire des seconds moyens 

15 de commande 214. Us sont egalement raccordes aux moyens principaux de 
calcul 201 et adaptes pour cooperer avec ces derniers pour mettre en oeuvre le 
precede de la figure 7. Ainsi les etapes 110 et 112 du precede de la figure 7 
sont, par exemple, realisees par les moyens de calcul 201 tandis que les 
etapes 114 a 122 mettent en oeuvre les moyens materiels de calcul 200 pour 

2 o accelerer le temps de calcul. 

L'ensemble des elements de la figure 10 sont, par exemple, 
implantes dans un composant FPGA ou dans un composant ASIC. En variante 
ce composant est associe a d'autres composants electroniques sur une carte 
electronique de maniere a realiser une carte electronique conforme au 
25 standard PCI. Une carte conforme au standard PCI est enfichable dans des 
ordinateurs classiques, ces derniers etant alors adaptes pour former les 
moyens principaux de calcul. 

En variante, la premiere exponentiation modulaire est realisee sur 
les poids faibles du message d'entree tandis ce que la seconde exponentiation 

3 0 modulaire est realisee sur les poids forts de ce meme message, les resultats 

des exponentiations sur les poids faibles et les poids forts etant ensuite 
recombiner pour obtenir le resultat final. 
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Le fonctionnement des composants des moyens materiels de calcul 
representes aux figures 9 et 10 est classique en lui-meme. Le fonctionnement 
de la cooperation de ces differents composants entre eux decoule directement 
des procedes decrits en regard des figures 5 et 7. Par consequent la 
5 cooperation des differents composants entre eux ne sera pas decrite ici plus 
en detail. 

Le fonctionnement du procede de la figure 7 va maintenant etre 
illustre a I'aide d'un exemple simple consistant a calculer I'exponentiation 
modulaire suivante : 
io 149 100 mod 165 

ou : 

- 149 est la valeur du message d'entree en decimale, note M dans 
cet exemple ; 

- 100 est la valeur de I'exposant en decimale, note E dans cet 

15 exemple ; 

- 165 est la valeur du modulus en decimale, note n dans cet 

exemple. 

Dans la suite de cet exemple, et pour simplifier la presentation, les 
produits de Montgomery sont calcules selon le procede de Montgomery a radix 
20 eleve de la figure 2 et non pas suivant le procede de la figure 5. Le radix est ici 
choisi egal a 4 bits. 

Par ailleurs, le parametre r de la methode m-ary est choisi ici egal a 

5 bits. 

25 Les representations binaires de M, n et E sont les suivantes : 

M = 1001 0101 (= 149 dec.) 
E = 01 10 0100 ( = 100 dec.) 
N = 1010 0101 ( = 165 dec.) 

On deduit de ces representations binaires que les variables d'entree 
3 0 sont codees sur 8 bits et que par consequent le parametre p de I'etape 110 de 
la figure 7 necessaire pour calculer le residu de M, note M , est egal a 2 8 , c'est- 
a-dire a 256. L'etape 1 10 du procede de la figure 7 consiste done a realiser le 
calcul suivant : 
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M = 149X256 mod 165. 

On obtient par une methode classique, telle que Talgorithme 
d'Euclide etendu : M = 29 dec. 

L'etape 112 de la figure 7 consiste a calculer n' 0 selon la relation 
5 definie a I'etape 2 de la figure 1 . Pour cela on determine d'abord n 0 , c'est-a- 
dire les 4 bits de poids faible du modulus n. On a done n 0 egal 5. Ensuite, n 0 ~ 1 
est calcule a Taide de la relation suivante : 

n 0 .n 0 " 1 = 1 mod 16 

Pour calculer la valeur de la variable n 0 " 1 on exploite le fait que cette 
10 valeur est un entier naturel compris entre 0 et 15. Par consequent pour chaque 
valeur possible de la variable n 0 ~ 1 le produit suivant est calcule : 
n 0 .n 0 ~ 1 mod 16 

Ensuite, on selectionne la valeur de n 0 ~ 1 satisfaisant la relation 
precedemment definie. Par cette methode on determine que no" 1 est egal a 13. 
15 On calcule ensuite son complement a 1 et Ton obtient n' 0 = 3. 

L'etape 114 du precede de la figure 7 consiste a pre-calculer les 16 
valeurs possibles des seconds produits m.n. Etant donne la simplicity de 
I'exemple decrit ici, ceci sera fait non pas dans cette etape mais directement 
20 au moment ou la valeur de Tun des seconds produits est requise. 

L'etape 116 consiste a calculer M a pour les valeurs successives de 
a comprises entre 2 et 31. Toutefois, dans Texemple particulier decrit ici, 
Texposant E se decompose en seulement deux mots de 5 bits F 0 et Fi dont les 
valeurs sont les suivantes : 
25 F 0 = 00100( = 4dec.) 

00011 ( = 3 dec.) 

Par consequent seuls les variables M 3 et M 4 sont necessaires pour 
Texecution des etapes suivantes. On ne calculera done ici que ces deux 
variables M 3 et M 4 . 

3 0 Pour calculer M 3 et M 4 les operations suivantes sont 

successivement effectuees : 

M 2 = MonPro(M, M) 
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M 3 = MonPro(M, M 2 ) 
M 4 = MonPro(M, M 3 ) 

Le calcul de ces differents produits de Montgomery est effectue 
selon le procede decrit en regard de la figure 2. Le procede etant identique 

5 pour le calcul de M 2 , M 3 et M 4 , on ne decrit ci-dessous que le calcul de M 2 . 

A I'etape 16 du procede de la figure 2 applique au calcul de M 2 , les 

premiers produits Mj. M sont pre-calcules, oti la variable Mj prend 
successivement les deux valeurs suivantes : 

Mo = 1101 (= 13 dec.) 

10 Mi =0001 ( = 1 dec.) 

Apres calcul, on obtient : 

M 0 .M =377;et 

Mi.M =29. 

La boucle 18 d'operations de la figure 2 est ensuite executee 
15 successivement pour les indices i = 0 et i=1 . 

Pour i = 0, les operations 24 a 30 de la boucle 18 sont done les 

suivantes : 

u: = M 0 M= 1 0111 1001 (=377 dec.) 
m : = u 0 .n'o mod 2 m = 93 mod 16 = 11 
20 u:= u + m.n = 377 + 11 X165 = 2192 

u: = u/2 <n =2192/16 = 137. 

Pour I'incide i = 1 , les operations 24 a 30 de la boucle 1 8 sont done 
les suivantes : 

u : = u + Mi.M = 137 + 1 29 = 166 
25 m : = uo.n'o mod 2°" =3 6 mod 16 = 2 

u := u + m.n = 166 + 2 165 = 496 
u: = u/2 0> = 496/16 = 31 

On obtient done M 2 = 31. De facon similaire on determine M 3 = 
164;etM 4 =16. 
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On remarque que M 4 a Tissue de la boucle cooperations 18 est egal 
a 181, ce qui est superieur au modulus, par consequent I'etape 20 de 
reduction doit §tre executee. 

Lors de I'operation 118 du procede de la figure 7, la valeur de la 

5 variable M Fs " 1 , c'est-a-dire ici M 1 , est affectee a la variable C. 

Les operations 126 et 128 de la boucle d'operations 120 du procede 
de la figure 7 sont ensuite executees pour la valeur de I'indice i = 0. 

L'operation 126 consiste a calculer la variable C 32 , c'est-a-dire ici a 
calculer (M 3 ) 32 . Les operations successives suivantes sont done executees : 
.0 M 8 = MonPro (M 4 , M 4 ). 

M 16 = MonPro (M 8 , M 8 ) 
M 32 = MonPro (M 16 , M 16 ) 
M 64 = MonPro (M 32 , M 32 ) 
M 96 = MonPro (M 64 , M 32 ) = (M 3 ) 32 
.5 Ces produits de Montgomery sont calcules selon le procede decrit 

en regard de la figure 2. Les calculs des variables M 16 , M 32 ,^ 64 , M 96 etant 
similaires a celui de M 8 , ils ne seront pas decrits ici en detail. 

Le calcul de M 8 est effectue selon la relation suivante : 
M 8 = MonPro (M 4 , M 4 ) = MonPro (16, 16) 
0 Lors de I'etape 16 du procede de la figure 2, les premiers produits 

de Montgomery ai . b, c. a. d. ici M 0 4 M 4 et M-i 4 . M 4 sont pre-calcules. Les 
valeurs de M 0 4 et Mi 4 sont les suivantes : 
Mo 4 =0000 (=0dec.) 
Mi 4 = 0001 (= 1 dec.) 
5 On en deduit done les valeurs des premiers produits suivantes : 

Mo 4 - M 4 = 0X16 = 0 
Mi 4 . M 4 = 1 X16 = 16 

La boucle d'operations 18 de la figure 2 est ensuite executee 
successivement pour i = 0 et i=1 . 
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Pour i = 0, les operations 24 a 30 de la boucle 18 sont done les 

suivantes : 

u : = u + ai . b = 0 
m : = u 0 . n' 0 mod 2 ffl =0X3 mod 16 = 0 
5 u: = u + m.n= 0 + 0X165 = 0 

u : = u/2 0> = 0 / 16 = 0 

Pour i = 1, les operations 24 a 30 de la boucle 18 sont done les 

suivantes : 

u: = u+ al. b = 0 + 16 = 16 
10 m : = u 0 . n' 0 mod 2 <a = 0X3 mod 16 = 0 

u : = u + m.n = 16 + 0 X 165 - 16 
u: = u/2 tD = 16/16 = 1 

De facon similaire on obtient les n§sultats numeriques suivants : 
M 16 =136; 
15 M 32 =31; 

M 64 = 16 ; 
M 96 = 136. 

Lors de I'execution de I'operation 128 du procede de la figure 7, F 0 
etant different de 0, le produit de Montgomery entre la variable C 32 et M F0 est 
20 calcule selon la relation suivante : 

C : = MonPro(M 96 , M 4 ) 
ou : 

- M 96 = 136 ; 

- M 4 = 16. 

25 A Tissue du calcul de ce produit de Montgomery selon le procede de 

la figure 2 on obtient le resultat suivant : 
C : = MonPro(136, 16) = 91 

La boucle d'operations 120 du procede de la figure 7 n'est executee 
qu'une seule fois puisque la valeur initiale de I'indice i est 0. 
30 A Tissue de I'execution de la boucle d'operation 120, Tetape 122 est 

executee. Elle consiste a effectuer I'operation suivante : 
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C: = MonPro(C, 1) 
ou : 

- C =91 ; 
- 1 est I'unite. 

5 A Tissue du calcul de ce produit de Montgomery selon le procede de 

la figure 2 on obtient le resultat numerique suivant : 
C: = MonPro(91,1)= 1 

Ainsi le resultat final de I'exponentiation modulaire 149 100 mod 165 
est egal a 1 . 

10 On concoit done a la lecture de la description qui precede que 

I'invention permet d'accelerer le temps d'execution du calcul d'un produit de 
Montgomery sur des moyens materiels de calcul. La description precedents 
decrit egalement I'application de I'invention a des procedes de cacul de 
multiplications et d'exponentiations modulaires, les procedes de calcul des 

15 multiplications et des exponentiations modulaires decrits etant eux-memes 
optimises pour accelerer encore plus leur temps d'execution. Les 
multiplications modulaires ou les exponentiations modulaires sont, comme on 
I'a deja. indique, utilisees dans de nombreux procedes et systemes de 
cryptage/decryptage d'informations. Toutefois, les applications de I'invention 

20 ne se limitent pas a ce domaine d'application mais s'etendent a tous les 
domaines techniques ou des produits de Montgomery, des multiplication 
modulaires ou des exponentiations modulaires sont utilises, tels que par 
exemple le domaine des telecommunications ou autres. 



02073450A1 I > 



WO 02/073450 PCT/FR02/00897 

53 

REVENDICATIONS 

1. Procede de traitement du calcul d'un produit de Montgomery a 
partir de la methode de Montgomery a radix eleve, ledit procede etant mis en 
oeuvre sur des moyens materiels de calcul (150 ; 200) formes d'un ensemble 

5 de composants electroniques comprenant au moins un additionneur de Carry- 
Save (157, 158 ; 230, 232), ladite methode comprenant une boucle 
d'operations, par reiteration d'operations successives realisees par lesdits 
moyens materiels de calcul (150 ; 200) comportant au moins : 

- une premiere operation d'addition arithmetique (24 , 76) d'une 
10 valeur d'un de plusieurs premiers produits, notes &!> et d'une valeur d'une 

variable, notee u ; 

- une deuxieme operation d'addition arithmetique (28 ; 80) d'une 
valeur d'un de plusieurs seconds produits, notes m.n, et d'une valeur de ladite 
variable u, 

15 caracterise en ce qu'il consiste : 

- a delivrer, en entree dudit au moins un additionneur de Carry- 
Save, la valeur de la variable u sous la forme d'un couple de Carry-Save et 

ladite valeur d'un de plusieurs produits, notes aH, respectivement m.n, pour 
executer lesdites premiere et deuxieme operations d'addition arithmetique et 
20 pour obtenir en sortie le resultat de la premiere, respectivement de la 
deuxieme, operations d'addition arithmetique sous la forme d'un couple de 
Carry-Save, 

- a affecter, a la valeur de la variable u, le resultat obtenu en sortie 
dudit au moins un additionneur de Carry-Save, et 

25 - a repeter les operations de delivrance et d'affectation pour 

chacune desdites iterations. 

2. Procede selon la revendication 1 comportant, dans la boucle 
d'operations une troisieme operation de division (30 ; 76) de la variable u par 
une puissance de 2, notee 2 ro ou co est le radix, selon une troisieme relation 

30 u :=^L, caracterise en ce que la variable u est enregistree sous la forme d'un 
couple de Carry-Save forme par deux variables, notees C et S, pour 
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I'execution des operations de la boucle (72) et en ce que la troisleme operation 
de division de la variable u sous la forme d'un couple de Carry-Save est 
realisee en deux etapes, a savoir : 

une etape preliminaire (82) de calcul et de stockage d'une retenue, 
5 notee Re, qui risque d'etre perdue par la division de chaque variable C et S par 
la puissance de 2; 

une etape de division (76) de chaque variable C et S par la 
puissance de 2. 

3. Precede selon la revendication 2, caracterise en ce que I'etape 
10 preliminaire (82) de calcul de la retenue Re comprend I'operation d'additionner 

de fagon classique co bits de poids faible de la variable C, notes C 0> a cobits de 
poids faible de la variable S, notes S 0 , selon une quatrieme relation Re :=C 0 + 
So. 

4. Precede selon la revendication 3, caracterise en ce qu'une 
15 recombinaison (78, 84) de u a partir des variables C et S du couple de Carry- 
Save et de la retenue Re comprend I'operation de decaler a droite de © bits la 
retenue Re et d'additionner de facon conventionnelle le resultat obtenu aux 
variables C et S selon une cinquieme relation u : = C+S+R e /2 0> • 

5. Procede selon Tune quelconque des revendications 2 a 4, 
20 caracterise en ce qu'il comporte a Tissue de I'execution de la boucle 

d'operations (72) : 

une etape de recombinaison (84) de la variable u a partir au moins 
des valeurs des variables C et S du couple de Carry-Save calculees pendant 
I'execution de la boucle d'operations, et 
25 une etape de reduction (86) de la variable u selon une sixieme 

relation u : = u-n, ou n est un modulus, 

lesdites etapes de recombinaison et de reduction de la variable u se 
chevauchant de maniere a accelerer leur temps d'execution. 

6. Procede selon Tune quelconque des revendications 
30 precedentes, caracterise en ce que le radix <o est egal a 4 bits pour optimiser 

le temps d'execution du calcul d'un produit Montgomery sur des variables 
d'entree du produit de Montgomery codees sur 512 ou 1024 bits. 

7. Procede selon Tune quelconque des revendications precedentes, 
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caracterise en ce que les premiers produits ai . b sont pre-calcules avant 
d'executer la boucle d'operations (72). 

8. Precede selon Tune quelconque des revendications precedentes, 
caracterise en ce que les seconds produits m.n sont pre-calcules avant 

5 d'executer ia boucle d'operations (72). 

9. Precede pour accelerer le temps d'execution du calcul d'un 
premier et d'un second produits de Montgomery en appliquant pour chaque 
produit un procede selon Tune quelconque des revendication 1 a 8, caracterise 
en ce qu'il comporte au moins une premiere etape pendant laquelle la 

10 premiere operation d'addition (76) pour le premier produit est realisee en 
meme temps que la seconde operation d'addition (80) pour le second produit. 

10. Procede selon la revendication 9, caracterise en ce qu'il 
comporte au moins une seconde etape decalee dans le temps par rapport a la 
premiere, pendant laquelle la seconde operation d'addition (80) pour le premier 

15 produit est realisee en meme temps que la premiere operation d'addition (76) 
pour le second produit. 

11. Procede selon la revendication 9 ou 10, caracterise en ce qu'il 
comporte a Tissue de I'execution de la boucle d'operations (72) : 

une etape de recombinaison (84) puis de reduction (86) pour le 
2 o premier produit execute en premier ; et ensuite, 

une etape de recombinaison (84) puis de reduction (86) pour le 
second produit execute en second. 

12. Procede selon Tune des revendications 9 a 11, caracterise en 
ce qu'une des variables d'entree du premier produit de Montgomery execute 

25 en premier se compose des poids faibles d'une variable, et une des variables 
d'entree du second produit de Montgomery execute en second se compose 
des poids forts de cette meme variable. 

13. Procede pour accelerer le temps d'execution du calcul d'une 
multiplication modulaire en appliquant une methode mettant en oeuvre des 

30 produits de Montgomery, caracterise en ce que le calcul des produits de 
Montgomery est realise en appliquant au moins Tun des precedes selon au 
moins I'une des revendications 1 a 12. 

14. Procede selon la revendication 13, caracterise en ce que ladite 
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methode mettant en oeuvre des produits de Montgomery est la methode de 
Montgomery. 

15 Procede pour accelerer le temps d'execution du calcul d'une 
exponentiation modulaire en appliquant une methode mettant en oeuvre des 
5 multiplications modulaires, caracterise en ce que le calcul des multiplications 
modulaires est realise en appliquant un procede selon la revendication 13 ou 
14. 

16. Procede selon la revendication 15, caracterise en ce que ladite 
methode mettant en oeuvre des multiplications modulaires est la methode m- 

10 ary avec une taille de mots de r bits. 

17. Procede selon la revendication 16, caracterise en ce que la taille 
de mots r de la methode m-ary est egale a 5 bits pour accelerer le temps 
d'execution de la methode m-ary lorsque des variables d'entree du calcul de 
I'exponentiation modulaire sont codees sur 512 ou 1024 bits. 

15 18. Procede selon la revendication 16 ou 17, caracterise en ce que 

les seconds produits m.n sont pre-calcules avant d'appliquer la methode m- 
ary. 

19. Procede selon la revendications 15, caracterise en ce que ladite 
methode mettant en oeuvre des multiplications modulaires est la methode des 

20 restes chinois. 

20. Procede pour accelerer le temps d'execution du calcul d'une 
premiere exponentiation modulaire en appliquant une methode mettant en 
oeuvre des secondes exponentiations modulaires, caracterise en ce que les 
secondes exponentiations modulaires sont realisees en appliquant un procede 

2 5 selon Tune des revendications 15 a 19. 

21. Procede selon la revendication 20, caracterise en ce que ladite 
methode mettant en oeuvre des secondes exponentiations modulaires est la 
methode des restes chinois. 

22. Procede selon Tune quelconque des revendications 

3 0 precedentes, caracterise en ce qu'il est applique a des nombres codes sur plus 

de 320 bits. 

23. Programme d'ordinateur comprenant des instructions de code 
de programme pour I'execution de certaines etapes du procede selon Tune 
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quetconque des revendications 13 a 21 lorsque ledit programme est execute 
sur des moyens principaux de calcul (201) associes audits moyens materiels 
de calcul (150; 200). 

24. Systeme de traitement de calcul d'un produit de Mongtomery a 
5 partir de la methode de Mongomery a radix eleve, ledit systeme comportant 
des moyens materiels de calcul (150 ; 200) formes d'un ensemble de 
composants electroniques, ledit traitement comprenant une boucle 
d'operations, par reiteration d'operations successives real i sees par lesdits 
moyens materiels de calcul (1 50 ; 200) comportant : 
10 - une premiere operation d'addition arithmetique (24 , 76) d'une 

valeur d'un de plusieurs premiers produits, notes cu.b et d'une valeur d'une 
variable, notee u ; 

- une deuxieme operation d'addition arithmetique (28 ; 80) d'une 
valeur d'un de plusieurs seconds produits, notes m.n, et d'une valeur de ladite 

15 variable u, 

caracterise en ce que les moyens materiels de calcul (150 ; 200) 
comportent au moins : 

- un additionneur de Carry-Save adapte pour recevoir en entree la 
variable u sous la forme d'un couple de Carry-Save et ladite valeur d'un de 

2 0 plusieurs produits, notes cu.b, respectivement m.n, et a delivrer en sortie le 
resultat de la premiere, respectivement la deuxieme, operation d'addition 
arithmetique sous la forme d'un couple de Carry-Save, et 

- des moyens pour affecter a la variable u la valeur obtenue en 
sortie dudit au moins un additionneur de Carry-Save. 

25 25. Systeme selon la revendication 24, caracterise en ce que les 

moyens pour effectuer la premiere et la seconde operations d'addition 
comportent au moins un premier additionneur de Carry-Save (157; 230) 
adapte pour realiser la premiere operation d'addition et un second additionneur 
de Carry-Save (158; 232) adapte pour realiser la seconde operation 

30 d'addition. 

26. Systeme selon I'une des revendications 24 a 25, comportant des 
moyens classiques pour realiser une troisieme operation de division de la 



02073450A1_I_> 



WO 02/073450 



58 



PCT/FR02/00897 



variable u par une puissance de 2, notee 2 m ou © est le radix, selon une 
troisieme relation u :=^L, caracterise en ce qu'il comporte des moyens de 

stockage de la variable u sous la forme d'un couple de Carry-Save forme par 
deux variables, notees C et S et des moyens pour realiser la troisieme 
5 operation de division de la variable u sous la forme d'un couple de Carry-Save 
comprenant : 

des moyens de calcul et de stockage d'une retenue, notee Re, qui 
risque d'etre perdue par la division de chaque variable C et S par la puissance 
de 2; 

io des moyens de division de chaque variable C et S par la puissance 

de 2. 

27. Systeme selon la revendication 26, caracterise en ce que les 
moyens de calcul et de stockage de !a retenue Re cornportent des moyens 
d'addition conventionnelle des <o bits de poids faible de la variable C, notes C 0t 

15 aux obits de poids faible de la variable S, notes S 0f selon una quatrieme 
relation Re : = C 0 + S 0 . 

28. Systeme selon Tune quelconque des revendications 24 a 29, 
caracterise en ce qu'il comprend : 

des moyens (162 ; 236) de recombinaison de la variable u au moins 
20 a partir des valeurs des variables C et S du couple de Carry-Save, 

des moyens (166; 238) de reduction de la variable u, lesdits 
moyens de recombinaison de la variable u et lesdits moyens de reduction etant 
raccordes Tun a I'autre de maniere a chevaucher leur fonctionnement sous le 
controle de moyens de commande (156 ; 214). 
25 29. Systeme selon Tune quelconque des revendications 24 a 30, 

caracterise en ce que le radix co est egal a 4 bits pour optimiser le temps 
d'execution du calcul d'un produit Montgomery sur des variables d'entree du 
produit de Montgomery codees sur 512 ou 1024 bits. 

30. Systeme selon Tune quelconque des revendications 24 a 31, 
30 caracterise en ce qu'il comporte des moyens (164, 160 ; 216, 214, 218, 222) 

de pre-calculs des premiers produits a .b. 

31. Systeme selon I'une quelconque des revendications 24 a 31, 
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caracterise en ce qu'il comporte des moyens (164, 160 ; 216, 214, 218, 222) 
de pre-calculs des seconds produits m.n. 

32. Systeme selon la revendication 30 ou 31 caracterise en ce que 
lesdits moyens de pre-calculs des premiers et/ou des seconds produits 

5 comportent un additionneur conventionnel (160 ; 220, 222). 

33. Systeme d'acceleration du temps d'execution du calcul d'un 
premier et d'un second produits de Montgomery, caracterise en ce qu'il 
comporte deux additionneurs de Carry-Save (230, 232) actives simultanement 

34. Systeme selon la revendication 33, caracterise en ce qu'il 
10 comporte un seul moyen (162) pour recombiner la variable u a partir au moins 

des valeurs de variables C et S du couple de Carry-Save, relie en entree d'un 
seul moyen (166) de reduction de la variable u. 

35. Systeme d'acceleration du temps d'execution du calcul d'une 
multiplication modulaire par une methode mettant en oeuvre des produits de 

15 Montgomery, lesdits produits de Montgomery etant executes sur des moyens 
materiels de calcul (150 ; 200), caracterise en ce qu'il comporte au moins un 
systeme (1 50 ; 202) d'acceleration du temps d'execution du calcul des produits 
de Montgomery selon I'une des revendications 24 a 34. 

36. Systeme d'acceleration du temps d'execution du calcul d'une 
20 multiplication modulaire par la methode de Montgomery mettant en oeuvre des 

produits de Montgomery sur des moyens materiels de calcul (150; 200), 
caracterise en ce qu'il comporte au moins un systeme (150; 202) 
d'acceleration du temps d'execution du calcul des produits de Montgomery 
selon I'une des revendications 24 a 34. 

25 37. Systeme d'acceleration du temps d'execution du calcul d'une 

exponentiation modulaire par une methode mettant en oeuvre des 
multiplications modulaires, caracterise en ce qu'il comporte au moins un 
systeme (150; 200) d'acceleration du temps d'execution du calcul des 
multiplications modulaires selon la revendication 35 ou 36. 

30 38. Systeme d'acceleration du temps d'execution du calcul d'une 

exponentiation modulaire par la methode m-ary avec une taille de mots de r 
bits mettant en oeuvre des multiplications modulaires, caracterise en ce qu'il 
comporte au moins un systeme (150 ; 200) d'acceleration du temps 
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d'execution du calcul des multiplications modulaires selon la revendication 35 
ou 36. 

39. Systeme selon la revendication 38, caracterise en ce qu'il 
comporte au moins un registre (242, 244) a decalage a gauche de 5 bits pour 

5 accelerer I'execution de la methode m-ary avec une taille de mots r bits de la 
methode m-ary egale a 5 bits. 

40. Systeme deceleration du temps d'execution du calcul d'une 
exponentiation modulaire par la methode des restes chinois mettant en oeuvre 
des multiplications modulaires, caracterise en ce qu'il comporte au moins un 

10 systeme (150; 200) d'acceleration du temps d'execution du calcul des 
multiplications modulaires selon la revendication 37 ou 39. 

41. Systeme d'acceleration du temps d'execution du calcul d'une 
premiere exponentiation modulaire par une methode mettant en oeuvre des 
secondes exponentiations modulaires, caracterise en ce qu'il comporte au 

15 moins un systeme (150 ; 200) d'acceleration du temps d'execution du calcul 
des secondes exponentiations modulaires selon Tune quelconque des 
revendications 37 a 40. 

42. Systeme d'acceleration du temps d'execution du calcul d'au 
moins une premiere exponentiation modulaire par la methode des restes 

20 chinois mettant elle-meme en oeuvre des secondes exponentiations 
modulaires, caracterise en ce qu'il comporte au moins un systeme (150 ; 200) 
d'acceleration du temps d'execution du calcul des secondes exponentiations 
modulaires selon Tune quelconque des revendications 39 a 41 . 

43. Composant electronique caracterise en ce qu'il comporte au 
25 moins un systeme selon I'une des revendications 24 a 42. 

44. Composant electronique selon la revendication 45, caracterise 
en ce qu'il est forme avec au moins un FPGA. 

45. Carte electronique caracterisee en ce qu'elle comporte au moins 
un systeme selon I'une des revendications 24 a 44. 

3 0 46. Carte electronique selon la revendication 45, caracterisee en ce 

qu'elle est conforme au standard PCI. 

47. Machine caracterisee en ce qu'elle est associe a au moins un 
systeme selon I'une des revendications 24 a 46. 
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48- Procede de traitement du calcul d'une premiere exponentiation 
modulaire, notee M E mod nouM est le message d'entree, E est I'exposant et n 
est le modulus, a I'aide de moyens principaux de calcul (201) forme par un 
ordinateur, caracterise en ce qu'il comporte les etapes suivantes : 
5 - une premiere etape d'ecriture en entree des moyens principaux de 

calcul, de la premiere exponentiation modulaire, 

- une deuxieme etape d'activation sur les moyens principaux de 
calcul (201) de moyens de traitement selon la methode des restes chinois de 
ladite premiere exponentiation modulaire pour obtenir en sortie deux secondes 

10 exponentiations modulaires a traiter, 

- une troisieme etape d'activation de moyens de traitement selon la 
methode m-ary de chacune des secondes exponentiations modulaires, la 
methode m-ary mettant en oeuvre des multiplications modulaires, 

- des etapes d'activation de moyens de traitement selon la methode 
is de Montgomery de chacune desdites multiplications modulaires de la methode 

de m-ary. 

49. Procede selon la revendication 48, caracterise en ce que les 
variables d'entree sont des nombres entiers naturels codes sur plus de 320 
bits. 

2 0 50. Procede selon la revendication 48 ou 49, caracterise en ce que 

la taille de mots r de la methode m-ary est egale a 5 bits pour accelerer le 
temps d'execution de la methode m-ary lorsque les variables d'entree du calcul 
de I'exponentiation modulaire sont codees sur 512 ou 1024 bits. 

51. Procede selon Tune quelconque des revendications 48 a 50, 
25 caracterise en ce que les calculs des secondes exponentiations modulaires 

sont effectues sensiblement en parallele. 

52. Procede selon Tune quelconque des revendications 48 a 51, 
caracterise en que les produits de Montgomery sont calcules en utilisant la 
methode de Montgomery a radix eleve. 

3 0 53. Procede selon la revendication 52, caracterise en ce que la 

methode de Montgomery a radix eleve est mise en oeuvre conformement a Tun 
des precedes selon Tune quelconque des revendications 1 a 9. 

54. Programme d'ordinateur comprenant des instructions de code 
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de programme pour I'execution de certaines etapes du procede selon Tune 
quelconque des revendications 48 a 52 lorsque ledit programme est execute 
sur les moyens principaux de calcul (201). 
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